Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Brontok.D féreg
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Brontok
|
AVG
|
I-Worm/VB.FD
|
BitDefender
|
Win32.Worm.Rontok.C
|
e-Trust
|
Win32/Robknot.E
|
F-PROT
|
W32/BrantokX.NO
|
F-Secure
|
Email-Worm.Win32.Brontok.a
|
Ikarus
|
Virus.Win32.VB.al
|
Kaspersky
|
Email-Worm.Win32.Brontok.a
|
McAfee
|
W32/Rontokbro.gen@MM(Virus)
|
Microsoft
|
Win32/Brontok.A@mm
|
NOD32 (ESET)
|
Win32/Brontok.A
|
Norton Antivirus
|
W32.Rontokbro@mm
|
Panda
|
W32/Brontok.FR.worm
|
Rising Antivirus
|
Worm.Mail.Brontok.d
|
Sophos
|
W32/Brontok-A
|
Trend Micro
|
WORM_RONTOKBRO.D
|
VirusBuster
|
I-Worm.VB.DFN
|
Wildlist
|
W32/Rontokbro!ITW#10
|
Telepítés:
A Win32/Brontok.D féreg
a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza
az alábbi fájlokat:
- <user>'s Setting.scr
- Update.XX.Bron.Tok.bin
- <user>'s Setting.scr
- Update.XX.Bron.Tok.bin
A Win32/Brontok.D féreg
az ideiglenes (Temp) mappában véletlenszerűen generált névvel fájl(oka)t hozhat létre, melyeknek kiterjesztése
.tmp.
A Win32/Brontok.D féreg
az alábbi fájlokat hozza létre:
- Documents and Settings\<user>\Local Settings\Application Data\Bron.tok-4-13
- Documents and Settings\<user>\Local Settings\Application Data\ListHost4.txt
- Documents and Settings\<user>\Local Settings\Application Data\csrss.exe
- Documents and Settings\<user>\Local Settings\Application Data\inetinfo.exe
- Documents and Settings\<user>\Local Settings\Application Data\lsass.exe
-
teljes lista...
- Documents and Settings\<user>\Local Settings\Application Data\Bron.tok-4-13
- Documents and Settings\<user>\Local Settings\Application Data\ListHost4.txt
- Documents and Settings\<user>\Local Settings\Application Data\csrss.exe
- Documents and Settings\<user>\Local Settings\Application Data\inetinfo.exe
- Documents and Settings\<user>\Local Settings\Application Data\lsass.exe
- Documents and Settings\<user>\Local Settings\Application Data\services.exe
- Documents and Settings\<user>\Local Settings\Application Data\smss.exe
- Documents and Settings\<user>\Local Settings\Application Data\winlogon.exe
- Documents and Settings\<user>\Templates\bararontok.com
- Documents and Settings\<user>\Start Menu\Programs\Startup\Empty.pif
-
vissza...
A féreg
letörli a(z)
RUNDLL32. EXE
fájlt.
A féreg
kódját tartalmazó fájlok az alábbi ikonnal jelennek meg:
A Win32/Brontok.D féreg
a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Tok-Cirrhatus"="C:\Documents and Settings\<user>\Local Settings\Application Data\smss.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Bron-Spizaetus"="C:\WINDOWS\ShellNew\ElnorB.exe"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"="1"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableCMD"="0"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"="1"
-
teljes lista...
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Tok-Cirrhatus"="C:\Documents and Settings\<user>\Local Settings\Application Data\smss.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Bron-Spizaetus"="C:\WINDOWS\ShellNew\ElnorB.exe"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"="1"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableCMD"="0"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"="1"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"="2"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "HideFileExt"="1"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"="0"
-
vissza...
A Win32/Brontok.D féreg
a(z)
pause
sort hozzáadja az autoexec.bat fájlhoz.
E-mail üzenetek
A Win32/Brontok.D féreg
a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.
A Win32/Brontok.D féreg
az alábbi kiterjesztésű fájlokban keres e-mail címeket:
- ASP
- CFM
- CSV
- DOC
- EML
- HTML
- PHP
- TXT
- WAB
-
vissza...
|
Az összeállított e-mail üzenetek felépítése az alábbi:
Feladó |
A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze.
|
Címzett |
A féreg
az e-mail üzeneteket az összegyűjtött címekre küldi el.
Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre:
- ADMIN
- AHNLAB
- ALADDIN
- ALERT
- ALWIL
- ANTIGEN
- ASSOCIATE
- AVAST
- AVIRA
- BILLING@
- BUILDER
- CILLIN
- CONTOH
- CRACK
- DATABASE
- DEVELOP
- ESAFE
- ESAVE
- ESCAN
- EXAMPLE
- GRISOFT
- HAURI
- INFO@
- LINUX
- MASTER
- MICROSOFT
- NETWORK
- NOD32
- NORMAN
- NORTON
- PANDA
- PROGRAM
- PROLAND
- PROTECT
- ROBOT
- SECURITY
- SOURCE
- SYBARI
- SYMANTEC
- TRUST
- UPDATE
- VAKSIN
- VIRUS
- Payload
-
vissza...
|
Tárgy |
A tárgy mezője üres.
|
Melléklet |
A féreg
által küldött e-mail üzenet melléklete
Kangen.exe
.
|
|
Támadás az interneten
A féreg
módosítja a hosts fájlt. Ezáltal bizonyos weboldalak elérhetetlenné válnak.