Beagle.B – újabb komoly féregvírus-fertőzési hullám az Interneten

A fertőzött e-mail tulajdonságai

Tárgy: ID [6 véletlenszerűen választott karakter]… thanks
Tartalom:
Yours ID [9 véletlenszerűen választott karakter]
– –
Thank
Csatolmány: [7 véletlenszerűen választott karakter].exe

A féreg paraméterei

Felfedezésének ideje: 2004. február 17.
Utolsó frissítés ideje: 2004. február 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 11.264 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Általános tudnivalók

A MessageLabs a féreg első példányát Lengyelországban állította meg, február 17-én 11 óra 51 perckor. A Beagle.B-ből azóta már több, mint 40.000 példányt fogtak el, melyek 37%-a Angliából, 25%-a az USA-ból és 5%-a Németországból származik. A Filtermax értesítése szerint az első elemzések úgy látják: a backdoort telepítő eagle.B-mm tömegesen terjed. Érdemes tudni, hogy a féreg szaporodása várhatóan 2004 február 25-én magától leáll.

Aktiválódása esetén lezajló események

– elindítja az sndrec32.exe állományt, mely a Windows Sound Recorder alkalmazása
– felmásolja magát a System könyvtárba au.exe néven
– hozzáadja az au.exe=[System elérési útvonala]/au.exe bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a rendszerleíró adatbázishoz a HKEY_CURRENT_USER/SOFTWARE/Windows2000 kulcsot
– a 8866-os TCP porton hátsó kaput nyit a rendszerbe; amennyiben ez a port nem áll rendelkezésre, a féreg véletlenszerűen választ egy másikat, s megkísérli azt a portot megnyitni
– a fenti manőverrel lehetővé teszi egy támadó számára, hogy a rendszerre file-okat tölthessen fel, melyek aztán a System könyvtárba kerülnek, ahonnan el is lehet indítani ezeket az állományokat
– HTTP Get kérelmet küld minden 10.000-ik másodpercben a 80-as TCP porton a következő oldalakra:
. www.strato.de/1.php
. www.strato.de/2.php
. www.47df.de/wbboard/1.php
. www.intern.games-ring.de/2.php
– a következő kiterjesztéssel bíró állományok után kutat a fertőzött rendszerben: .wab, .txt, .htm, .html
– az ezekben a file-okban talált e-mailcímekre a fent ismertetett karakterisztikában továbbítja magát