Önfrissítő a Beagle legújabb változata

A fertőzött levél tulajdonságai

Feladó: [hamis cím]

Tárgy: néhány példa:
– Re:
– Re: Hello
– Re: Hi
– Re: Thank you!
– Re: Thanks 🙂

Tartalom: az alábbi sorok közül egy:
– Read the attach.
– Your file is attached.
– More info is in attach
– See attach.
– Please, have a look at the attached file.
– Your document is attached.
– Please, read the document.
– Attach tells everything.
– Attached file tells everything.
– Check attached file for details.
– Check attached file.
– Pay attention at the attach.
– See the attached file for details.
– Message is in attach
– Here is the file.

Ha a csatolmány (jelszóvédett) ZIP állomány, akkor ezek után még egy, arra vonatkozó sor is állhat a levél végén.

Csatolmány: az alábbiak egyike .hta, .vbs, .exe, .scr, .com, .cpl vagy .zip kiterjesztéssel:
– Information
– Details
– text_document
– Updates
– Readme
– Document
– Info
– Details
– MoreInfo
– Message

A féreg paraméterei

Felfedezésének ideje: 2004. november 15.
Utolsó frissítés ideje: 2004. november 16.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 18.254 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjeleníti az alábbi álhibaüzenetet:
Error!
Can´t find a viewer associated with the file
– hét mutexet is létrehoz, ezzel akadályozandó meg az egyes Netsky változatok memóriába való betöltődését:
. MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
. ´D´r´o´p´p´e´d´S´k´y´N´e´t´
. -oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
. [SkyNet.cz]SystemsMutex
. AdmSkynetJklS003
. _—>>>>U<<<<--____
. _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
– számos bejegyzést letöröli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból, ezek többnyire behatolásvédelmi szoftverekhez tartozó értékek
– létrehozza az alábbi állományokat a System mappában:
. sysinit.exe
. sysinit.exeopen
. sysinit.exeopenopenopen
– hozzáadja a Syskey=[System elérési útvonala]/sysinit.exe bejegyzést az alábbi Registry kulcshoz: HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– létrehozhatja a következő két kulcsot:
. HKEY_CURRENT_USER/Software/Microsoft/DownloadManager
. HKEY_LOCAL_MACHINE/Software/Microsoft/DownloadManager
– leállítja a rendszerre telepített behatolásvédelmi programok és az esetlegesen jelen levő férgek futó process-eit
– megnyitja a 2002-es TCP portot a fertőzött gépen, ezzel e-mail relay-t csinálva a PC-ből
– HTTP get kérelmet küld a 80-as TCP porton át a webnomey.net URL-nek, ahonnan megpróbál kapcsolatot létesíteni egy PHP scripttel
– megkísérel letölteni egy állományt a sash.cc címről, ha sikerrel jár, akkor elmenti 1.exe néven, majd le is futtatja
– megkísérli önmaga másolatait létrehozni azokban a mappákban, melyeknek nevében megtalálható a shar sztring; ehhez számos, figyelemfelkeltő nevet használ; néhány példa:
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Microsoft Office XP working Crack, Keygen.exe
. Porno, sex, oral, anal cool, awesome!!.exe
. Porno Screensaver.scr
. Serials.txt.exe
. KAV 5.0
. Kaspersky Antivirus 5.0
– e-mailcímek után kutat különböző állományokban, majd saját SMTP-motorja révén továbbítja is magát ezekre a címekre (néhány kivétellel)