Jelszóvédett formában is terjed az új Beagle féregvírus

A fertőzőtt e-mail jellemzői

Feladó: hamis e-mail cím

Tárgy: egy előre elkészített listából válogat, néhány példa:
. Changes..
. Encrypted document
. Fax Message
. Forum notify
. Incoming message
. Notification
. Protected message
. Re: Document
. Re: Hello
. Re: Hi
. Re: Incoming Message

Tartalom: ha a csatolmány ZIP file, a következők egyike:
. For security reasons attached file is password protected. The password is
. For security purposes the attached file is password protected. Password —
. Note: Use password
. Attached file is protected with the password for security reasons. Password is
. In order to read the attach you have to use the following password:
. Archive password:
. Password
. Password:

Ellenkező esetben az alábbiak közül egy:
. Read the attach.
. Your file is attached.
. More info is in attach
. See attach.
. Please, have a look at the attached file.
. Your document is attached.
. Please, read the document.
. Attach tells everything.
. Attached file tells everything.
. Check attached file for details.
. Check attached file.
. Pay attention at the attach.
. See the attached file for details.
. Message is in attach
. Here is the file.

Csatolmánynév:
. Information
. Details
. text_document
. Updates
. Readme
. Document
. Info
. MoreInfo
. Message

Csatolmány kiterjesztés:

A féreg paraméterei

Felfedezésének ideje: 2004. július 17.
Utolsó frissítés ideje: 2004. július 19.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 25.764 byte, 21.501 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsokból az alábbi értékeket (ha azok ott léteznek):
. My AV
. Zone Labs Client Ex
. 9XHtProtect
. Antivirus
. Special Firewall Service
. service
. Tiny AV
. ICQNet
. HtProtect
. NetDy
. Jammer2nd
. FirewallSvr
. MsInfo
. SysMonXP
. EasyAV
. PandaAVEngine
. Norton Antivirus AV
. KasperskyAVEng
. SkynetsRevenge
. ICQ Net
– létrehozza a következő állományokat a System könyvtárban (melyek a féreg egy-egy másolatát tartalmazzák):
sys_xp.exe
sys_xp.exeopen
sys_xp.exeopenopen
– ugyanitt létrehozza a sys_xp.exeopenopen file-t, ami vagy ZIP vagy CPL formátumú lehet
. ha .zip kiterjesztésű, akkor két véletlenszerűen elnevezett állományt tartalmaz (az egyik egy .exe, a másik egy szöveges file lesz, .sys, .dat, .idx, .vxd, .vid, vagy .dll kiterjesztéssel)
. amennyiben .cpl kiterjesztésű, akkor ha ez lefuttatásra kerül, létrehozza a cplstub.exe állományt a Windows könyvtárban
– létrehozza a key=[System elérési útvonala]/sys_xp.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run kulcsban, így a féreg minden Windows bootoláskor elindul
– hátsó kaput hoz létre a rendszeren a 1080-as TCP port megnyitásával, így a fertőzött számítógép később e-mail relay-ként használható
– számos, előre meghatározott domainnael megpróbálja felvenni a kapcsolatot egy .php script elérése érdekében
– leállítja a rendszerre telepített behatolsávédelmi szoftverek futó process-eit
– megkísérel önmagáról másolatokat létrehozni minden olyan könyvtárba, amelyiknek a neve tartalmazza a shar sztringet; ehhez az alábbi, figyelemfelkeltő nevek közül válogat:
. ACDSee 9.exe
. Adobe Photoshop 9 full.exe
. Ahead Nero 7.exe
. Kaspersky Antivirus 5.0
. KAV 5.0
. Matrix 3 Revolution English Subtitles.exe
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Office XP working Crack, Keygen.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Opera 8 New!.exe
. Porno pics arhive, xxx.exe
. Porno Screensaver.scr
. Porno, sex, oral, anal cool, awesome!!.exe
. Serials.txt.exe
. WinAmp 5 Pro Keygen Crack Update.exe
. WinAmp 6 New!.exe
. Windown Longhorn Beta Leak.exe
. Windows Sourcecode update.doc.exe
. XXX hardcore images.exe
– e-mailcímeket keres különböző állományokban, majd saját SMTP-motorja révén minden kontakt számára továbbítja magát