Újra támad a Beagle féreg

A fertőzőtt e-mail jellemzői

Feladó: hamis e-mail cím

Tárgy: egy előre elkészített listából válogat, néhány példa:
– Changes..
– Encrypted document
– Fax Message
– Forum notify
– Incoming message
– Notification
– Protected message
– Re: Document
– Re: Hello
– Re: Hi
– Re: Incoming Message

Tartalom: ha a csatolmány ZIP file, a következők valamelyike:
– For security reasons attached file is password protected. The password is
– For security purposes the attached file is password protected. Password —
– Note: Use password
– Attached file is protected with the password for security reasons. Password is
– In order to read the attach you have to use the following password:
– Archive password:
– Password
– Password:

ha a csatolmány nem .zip kiterjesztésű, az alábbiak közül olvashatunk egyet:
Read the attach.
– Your file is attached.
– More info is in attach
– See attach.
– Please, have a look at the attached file.
– Your document is attached.
– Please, read the document.
– Attach tells everything.
– Attached file tells everything.
– Check attached file for details.
– Check attached file.
– Pay attention at the attach.
– See the attached file for details.
– Message is in attach
– Here is the file.

Csatolmánynév:
. Information
. Details
. text_document
. Updates
. Readme
. Document
. Info
. MoreInfo
. Message

Csatolmány kiterjesztés: .hta, .vbs, .exe, .scr, .com, .cpl, .zip

A féreg paraméterei

Felfedezésének ideje: 2004. július 12.
Utolsó frissítés ideje: 2004. július 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 15 Kbyte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjeleníti a jobboldalt látható ál-hibaüzenetet
– hét mutexet hoz létre, melyek megakadályozzák az egyes Netsky változatok memóriába való betöltődését:
. MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
. ´D´r´o´p´p´e´d´S´k´y´N´e´t´
. -oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
. [SkyNet.cz]SystemsMutex
. AdmSkynetJklS003
. _—>>>>U<<<<--____
. _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsokból az összes olyan bejegyzést, melyben megtalálható az alábbi stringek valamelyike:
. My AV
. Zone Labs Client Ex
. 9XHtProtect
. Antivirus
. Special Firewall Service
. service
. Tiny AV
. ICQNet
. HtProtect
. NetDy
. Jammer2nd
. FirewallSvr
. MsInfo
. SysMonXP
. EasyAV
. PandaAVEngine
. Norton Antivirus AV
. KasperskyAVEng
. SkynetsRevenge
. ICQ Net
– létrehozza a következő állományokat a System mappában:
. loader_name.exe
. loader_name.exeopen
. loader_name.exeopenopen
– ugyanitt létrehozza a loader_name.exeopenopen állományt, mely vagy egy ZIP, VBS, CPL, HTA állomány lesz, vagy maga a féreg; a típustól függően a következők egyike történhet:
. ZIP: két véletlenszerűen elnevezett állományt tartalmaz, az egyik EXE kiterjesztésű, a másik egy szöveges file, a következő kiterjesztések valamelyikével: .sys, .dat, .idx, .vxd, .vid vagy .dll
. VBS: létrehozza a vss_2.exe állományt abban a könyvtárban, ahonnan elindításra került
. CPL: a cplstub.exe file-t hozza létre a Windows mappában
. .HTA: létrehozza a qwrk.exe állományt az aktuális mappában
– felmásol a System könvtárba még egy file-t, loader_name.exeopenopenopen névvel; ha a Gdiplus.dll jelen van a számítógépen, akkor ez JPEG vagy GIF kép lesz, ha nincs, akkor BMP file
– hozzáadja a reg_key=[System elérési útvonala]/loader_name.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– ha a rendszerdátum 2005. január 25-e utáni, a féreg letörli a HKEY_CURRENT_USER/SOFTWARE/base_reg_path kulcs értékét, és kilép a memóriából
– hátsó kaput nyit a fertőzött rendszeren az 1234-es TCP port kinyitásával, így a számítógép e-mail relay-ként viselkedhet
– megkísérli elhelyezni önmaga másolatát minden olyan mappába, melynek neve tartalmazza a shar stringet; a file-ok a következő néven szerepelhetnek:
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Microsoft Office XP working Crack, Keygen.exe
. Porno, sex, oral, anal cool, awesome!!.exe
. Porno Screensaver.scr
. Serials.txt.exe
. KAV 5.0
. Kaspersky Antivirus 5.0
. Porno pics arhive, xxx.exe
. Windows Sourcecode update.doc.exe
. Ahead Nero 7.exe
. Windown Longhorn Beta Leak.exe
. Opera 8 New!.exe
. XXX hardcore images.exe
. WinAmp 6 New!.exe
. WinAmp 5 Pro Keygen Crack Update.exe
. Adobe Photoshop 9 full.exe
. Matrix 3 Revolution English Subtitles.exe
. ACDSee 9.exe
– e-mailcímek után kutat, majd a megtalált kontaktok számára továbbítja magát saját SMTP-motorja révén