Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Spy.Dumarin.C féreg
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Dumaru-AQ-FSG
|
AVG
|
PSW.Dumarin.R
|
BitDefender
|
Generic.Dumaru.F70CB425
|
e-Trust
|
Win32/Malum.QHN
|
F-PROT
|
W32/Threat-HLLSI-based!Maximus
|
F-Secure
|
Trojan-Spy.Win32.Dumarin.c
|
Ikarus
|
Backdoor.Win32.Dumador.CX
|
Kaspersky
|
Trojan-Spy.Win32.Dumarin.c
|
McAfee
|
PWS-LDPinch(Trojan)
|
Microsoft
|
Win32/Dumarin.C1
|
NOD32 (ESET)
|
Win32/Spy.Dumarin.C
|
Norton Antivirus
|
Infostealer
|
Panda
|
Trojan Horse
|
Rising Antivirus
|
Trojan.Spy.Dumarin.d
|
Sophos
|
Troj/Dumaru-C
|
Trend Micro
|
TROJ_LDPINCH.Q
|
VirusBuster
|
I-Worm.Dumaru.Gen
|
Telepítés:
Az aktivizálódást követően a Win32/Spy.Dumarin.C féreg
megpróbálja elindítani
a(z)
"Microsoft Internet Explorer"
web böngésző programot.
|
A féreg
az alábbi fájlokat hozza létre:
A Windows mappában (alapértelmezés szerint C:\Windows):
1111k.log
A Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32):
A Windows Startup mappájában:
dllw32.exe
|
|
A Win32/Spy.Dumarin.C féreg
a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe C:\WINDOWS\System32\dlla32.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load32"="C:\WINDOWS\System32\dllx32.exe"
- [HKEY_LOCAL_MACHINE\Software\SARS] "kwmfound"="0"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe C:\WINDOWS\System32\dlla32.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load32"="C:\WINDOWS\System32\dllx32.exe"
- [HKEY_LOCAL_MACHINE\Software\SARS] "kwmfound"="0"
A rendszerleíró adatbázisból a(z)
[ HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon] " Shell" =" Explorer. exe"
bejegyzést törli.
|
A Win32/Spy.Dumarin.C féreg
a C:\Windows\System.ini fájl [boot] szekciójába a(z)
shell=explorer.exe C:\Windows\System\vxdmgr32.exe a C:\Windows\Win.ini fájl [windows] szekciójába pedig a(z)
run=c:\Windows\dllreg.exe bejegyzéseket teszi.
A Win32/Spy.Dumarin.C féreg
leállítja az alábbi folyamatokat:
- ZAUINST.EXE
- ZAPRO.EXE
- ZONEALARM.EXE
- ZATUTOR.EXE
- MINILOG.EXE
-
teljes lista...
- ZAUINST.EXE
- ZAPRO.EXE
- ZONEALARM.EXE
- ZATUTOR.EXE
- MINILOG.EXE
- VSMON.EXE
- LOCKDOWN.EXE
- ANTS.EXE
- FAST.EXE
- GUARD.EXE
- TC.EXE
- SPYXX.EXE
- PVIEW95.EXE
- REGEDIT.EXE
- DRWATSON.EXE
- SYSEDIT.EXE
- NSCHED32.EXE
- MOOLIVE.EXE
- TCA.EXE
- TCM.EXE
- TDS-3.EXE
- SS3EDIT.EXE
- UPDATE.EXE
- ATCON.EXE
- ATUPDATER.EXE
- ATWATCH.EXE W
- GFE95.EXE
- POPROXY.EXE
- NPROTECT.EXE
- VSSTAT.EXE
- VSHWIN32.EXE
- NDD32.EXE
- MCAGENT.EXE
- MCUPDATE.EXE
- WATCHDOG.EXE
- TAUMON.EXE
- IAMAPP.EXE
- IAMSERV.EXE
- LOCKDOWN2000.EXE
- SPHINX.EXE
- WEBSCANX.EXE
- VSECOMR.EXE
- PCCIOMON.EXE
- ICLOAD95.EXE
- ICMON.EXE
- ICSUPP95.EXE
- ICLOADNT.EXE
- ICSUPPNT.EXE
- FRW.EXE
- BLACKICE.EXE
- BLACKD.EXE
- WRCTRL.EXE
- WRADMIN.EXE
- WRCTRL.EXE
- PCFWALLICON.EXE
- APLICA32.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFINET32.EXE
- CFINET.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- SAFEWEB.EXE
- NVARCH16.EXE
- MSSMMC32.EXE
- PERSFW.EXE
- VSMAIN.EXE
- LUALL.EXE
- LUCOMSERVER.EXE
- AVSYNMGR.EXE
- DEFWATCH.EXE
- RTVSCN95.EXE
- VPC42.EXE
- VPTRAY.EXE
- PAVPROXY.EXE
- APVXDWIN.EXE
- AGENTSVR.EXE
- NETSTAT.EXE
- MGUI.EXE
- MSCONFIG.EXE
- NMAIN.EXE
- NISUM.EXE
- NISSERV.EXE
-
vissza...
E-mail üzenetek
A Win32/Spy.Dumarin.C féreg
a terjedése érdekében HTML formátumú e-mail üzeneteket generál és ebben küldi tovább saját kódját.
A Win32/Spy.Dumarin.C féreg
az alábbi kiterjesztésű fájlokban keres e-mail címeket:
- .htm
- .wab
- .html
- .dbx
- .tbb
- .abd
- .htm
- .wab
- .html
- .dbx
- .tbb
- .abd
A Win32/Spy.Dumarin.C féreg
az üzenetek elküldéséhez saját smtp-motort használ.
|
Az összeállított e-mail üzenetek felépítése az alábbi:
Feladó |
Az e-mail feladója
"Microsoft" security@microsoft.com
.
|
Tárgy |
A levél lehetséges tárgya:
Use this patch immediately ! and an attachment called PATCH.EXE.
|
Melléklet |
A féreg
által küldött e-mail üzenet melléklete
PATCH.EXE
.
|
|
Támadás az interneten
A féreg
megkísérel a(z)
https://www.e-gold.com/srk.asp
webcímre csatlakozni.
Hátsóajtó
A Win32/Spy.Dumarin.C féreg
az alábbi TCP portokon nyit hátsóajtót:
A(z)
aster1972@list.ru
e-mail címre értesítést küld, ha sikerült megnyitnia a hátsóajtót. Erre a címre elküldi a számítógépről összegyűjtött információkat is.