Többszörösen mutálódott a Beagle féregvírus

A fertőzött e-mail tulajdonságai

Mind a tárgy, mind a levél törzse változó, ahogyan a csatolmány neve is. Ez utóbbi kiterjesztése háromféle: .exe, .scr, .zip lehet.

A féreg paraméterei

Felfedezésének ideje: 2004. február 29. – március 1.
Utolsó frissítés ideje: 2004. március 1. – március 2.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó (18-22 kB)
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi a rendszerdátumot, amennyiben az 2004. március 25-e utáni, felfüggeszti futását
– létrehozza az imain_mutex nevű mutexet, így csak egyszer töltődik be a memóriába
– felmásolja magát a System könyvtárba i1ru54n4.exe vagy i1r54n4.exe néven
– létrehozza a következő file-okat ugyanitt:
. go54o.exe vagy go154o.exe (18.944 vagy 19.968 byte) – a féreg e-mailező, DLL modulja, voltaképp a W32.Beagle.A@mm féreg
. ii5nj4.exe vagy i1i5n1j4.exe (1536 byte) – szintén DLL file, a fenti állomány betöltője
. i1ru54n4.exeopen vagy i11r54n4.exeopen – ZIP file
– az explorer.exe process-e révén lefuttattja a fent említett állományok közül az elsőt, ami a levelezésért felelős
– hozzáadja a rate.exe=[System elérési útvonala]/i1i5n1j4.exe vagy ii5nj4.exe bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– az F és a G változat esetén hozzáadja a HKEY_CURRENT_USER/SOFTWARE/winword kulcshoz a frun=1 bejegyzést
– megnyitja a 2745-ös TCP portot, amin keresztül jogosulatlan hozzáférést kínál a fertőzött számítógéphez
– HTTP GET kérelmeket küld a 80-as TCP porton át a következő website-oknak (I és H változat):
. postertog.de
. www.gfotxt.net
. www.maiklibis.de
– az F és a G variáns ugyanezen website-ok scr.php oldalait támadja
– a GET kérelmek (az I és a H verziónál) magukban foglalják azt a portszámot, melyen a fertőzött számítógép hallgatózik, illetve az komputer IP-címét
– megkísérli a rendszerre telepített behatolásvédelmi szoftverek futó process-einek leállítását
– a helyi meghajtókat feltérképezi e-mailcímek után kutatva; ehhez a következő kiterjesztéssel bíró állományokat keresi meg: .wab, .txt, .htm, .html, .dbx, .mdx, .eml, .nch , .mmf, .ods, .cfg, .asp, .php, .pl, .adb, .sht, .xml
– saját SMTP motorjának használatával az így megszerzett címekre továbbítja magát; ez alól csak az alábbi sztringek valamelyikével bíró címek képeznek kivételt:
.gr, @hotmail.com, @msn.com, @microsoft, @avp., noreply, local, root@, postmaster@
– az F és a G változat képes file-megosztó hálózatokon is szaporodni: a shar sztringet magukban foglaló könyvtárakba másolja be magát néhány file képében, melyek nevei az alábbi lista elemei közül kerülnek ki:
. ACDSee 9.exe
. Adobe Photoshop 9 full.exe
. Ahead Nero 7.exe
. Matrix 3 Revolution English Subtitles.exe
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Office XP working Crack, Keygen.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Opera 8 New!.exe
. Porno pics arhive, xxx.exe
. Porno Screensaver.scr
. Porno, sex, oral, anal cool, awesome!!.exe
. Serials.txt.exe
. WinAmp 5 Pro Keygen Crack Update.exe
. WinAmp 6 New!.exe
. Windown Longhorn Beta Leak.exe
. Windows Sourcecode update.doc.exe