Gyorsan terjed a Beagle féregvírus legújabb változata

A fertőzőtt e-mail jellemzői

Feladó: hamis e-mail cím
Tárgy: üres
Tartalom: New price
Csatolmány: az alábbiak közül egy:
. 08_price.zip
. new__price.zip
. new_price.zip
. newprice.zip
. price.zip
. price2.zip
. price_08.zip
. price_new.zip
A csatolmány egy ugyanolyan nevű futtatható állományt foglal magába, illetve a Price.html nevű file-t – ez felel a levelező komponens letöltéséért.

A féreg paraméterei

Felfedezésének ideje: 2004. augusztus 9.
Utolsó frissítés ideje: 2004. augusztus 9.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 50-999
Földrajzi elterjedtsége: közepes
Károkozás mértéke: közepes
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba WINdirect.exe néven
– hozzáadja a win_upd.exe=[System elérési útvonala]/WINdirect.exe bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– létrehozza a System mappában a _dll.exe állományokat
– ezt az állományt végrehajtási szálként beviszi egy process-be, aminek révén így a féreg trójai komponense nem fog látszódni a Windows Task Managerében
– leállítja a rendszerre telepített behatolásvédelmi programok futó process-eit
– különböző weboldalakról megkísérel letölteni egy állományt, amit ~.exe néven elment a Windows mappába; ha sikerrel járt, majd le is futtatja
– sajnos, okulva az antivírus cégek és a Microsoft korábbi erőfeszítéseből, rengeteg webcímről le tudja szedni a fenti állományt, így a kérdéses szerverek mindegyikének kiiktatása már minden bizonnyan nem sikerülhet

A letöltött állomány futtatásakor bekövetkező események

– hét mutexet hoz létre, ezzel akadályozandó meg az egyes Netsky változatok memóriába való betöltődését:
. MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
. ´D´r´o´p´p´e´d´S´k´y´N´e´t´
. -oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
. [SkyNet.cz]SystemsMutex
. AdmSkynetJklS003
. _—>>>>U<<<<--____
. _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
– létrehozza a következő állományokat a System könyvtárban:
. windll.exe
. windll.exeopen
. windll.exeopenopen
. re_file.exe
– hozzáadja az erthgdr=[System elérési útvonala]/windll.exe bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcsból letörli az alábbi bejegyzéseket, ha azok ott léteznek:
. 9XHtProtect
. Antivirus
. EasyAV
. FirewallSvr
. HtProtect
. ICQ Net
. ICQNet
. Jammer2nd
. KasperskyAVEng
. MsInfo
. My AV
. NetDy
. Norton Antivirus AV
. PandaAVEngine
. SkynetsRevenge
. Special Firewall Service
. SysMonXP
. Tiny AV
. Zone Labs Client Ex
. service
– megkísérli önmaga másolatait létrehozni azokban a mappákban, melyeknek nevében megtalálható a shar sztring; ehhez számos, figyelemfelkeltő nevet használ, néhány példa:
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Microsoft Office XP working Crack, Keygen.exe
. Porno, sex, oral, anal cool, awesome!!.exe
. Porno Screensaver.scr
. Serials.txt.exe
. KAV 5.0
. Kaspersky Antivirus 5.0
– e-mailcímek után kutat különböző állományokban, majd saját SMTP-motorja révén továbbítja is magát ezekre a címekre (néhány kivétellel)
– hátsó kaput hoz létre a fertőzött rendszeren a 80-as TCP és UDP portok megnyitásával, így az áldozatul esett számítógép a továbbiakban e-mail relay-ként funkcionálhat
– létrehozza a következő Registry kulcsot: HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Ru1n

Eltávolítás

A féreghez több antivírus fejlesztő is kiadott ingyenesen beszerezhető eltávolítóeszközt, a digitális kártevő nagy fertőzőképessége miatt; többek között a NOD32 vírusirtót fejlesztő ESET jóvoltából is tisztává tehetjük a fertőzött rendszereket.