Beagle.C – rendszereink védelmét megnyitó féregvírus

A fertőzött e-mail tulajdonságai

Mind a tárgy, mind a csatolmány (EXE file egy ZIP állományban) változó, a levél törzse azonban üres.

A féreg paraméterei

Felfedezésének ideje: 2004. február 27.
Utolsó frissítés ideje: 2004. február 29.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 15.872 byte (EXE állomány), 15.944 byte (ZIP file)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi a rendszerdátumot, amennyiben az 2004. március 14-e utáni, felfüggeszti futását
– létrehozza az imain_mutex nevű mutexet, így csak egyszer töltődik be a memóriába
– amennyiben a féreg nem a System könyvtárból, a readme.exe állományból lett indítva, betölti a Notepadet
– felmásolja magát a System könyvtárba readme.exe néven
– létrehozza a következő file-okat:
. onde.exe (18.944 byte) – a féreg e-mailező, DLL modulja, voltaképp a W32.Beagle.A@mm féreg
. doc.exe (1536 byte) – szintén DLL file, az onde.exe betöltője
. readme.exeopen (15.994 byte) – ZIP file
– az explorer.exe process-e révén lefuttattja az onde.exe-t, ami a levelezésért felelős
– hozzáadja a gouday.exe=[System elérési útvonala]/readme.exe bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a HKEY_CURRENT_USER/SOFTWARE/DateTime2 kulcshoz a következő bejegyzéseket:
. uid=[véletlenszerűen generált érték]
. port=2745
. frun=1
– a fent említett véletlenszerűen generált érték egy egyedi azonosítóként szolgál
– megnyitja a 2745-ös TCP portot, amin keresztül jogosulatlan hozzáférést kínál a fertőzött számítógéphez
– HTTP GET kérelmeket küld a 80-as TCP porton át a következő website-oknak:
. permail.uni-muenster.de
. www.songtext.net/de
. www.sportscheck.de
– a GET kérelmek magukban foglalják azt a portszámot, melyen a fertőzött számítógép hallgatózik, illetve az uid kulcsban lementett egyedi azonosítót
– megkísérli a rendszerre telepített behatolásvédelmi szoftverek futó process-einek leállítását
– a helyi meghajtókat feltérképezi e-mailcímek után kutatva; ehhez a következő kiterjesztéssel bíró állományokat keresi meg: .wab, .txt, .htm, .html, .dbx, .mdx, .eml, .nch , .mmf, .ods, .cfg, .asp, .php, .pl, .adb, .sht
– saját SMTP motorjának használatával az így megszerzett címekre továbbítja magát ; ez alól csak az alábbi sztringek valamelyikével bíró címek képeznek kivételt:
.ch, @hotmail.com, @msn.com, @microsoft, @avp., noreply, local, root@, postmaster@