Még újabb Beagle féregvírus terjed

A fertőzött e-mail tulajdonságai

Tárgy: egy előre elkészített listából választ véletlenszerűen; néhány példa:
. Accounts department
. Ahtung!
. Camila
. Daily activity report
. Ello!
. Flayers among us
. Freedom for everyone
. From Hair-cutter
. From me
. Greet the day
. Hardware devices price-list
. Hello my friend
. Hi!

A féreg paraméterei

Felfedezésének ideje: 2004. február 28.
Utolsó frissítés ideje: 2004. február 29.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó (17-18 kB)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi a rendszerdátumot, amennyiben az 2004. március 25-e utáni, felfüggeszti futását
– létrehozza az imain_mutex nevű mutexet, így csak egyszer töltődik be a memóriába
– amennyiben a féreg nem a System könyvtárból, az i1ru74n4.exe állományból lett indítva, betölti a Notepadet
– felmásolja magát a System könyvtárba i1ru74n4.exe néven
– létrehozza a következő file-okat:
. godo.exe (18.944 byte) – a féreg e-mailező, DLL modulja, voltaképp a W32.Beagle.A@mm féreg
. ii455nj4.exe (1536 byte) – szintén DLL file, az godo.exe betöltője
. i1ru74n4.exeopen (15.994 byte) – ZIP file
– az explorer.exe process-e révén lefuttattja az godo.exe-t, ami a levelezésért felelős
– hozzáadja a rate.exe=[System elérési útvonala]/i1ru74n4.exe bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a HKEY_CURRENT_USER/SOFTWARE/DateTime4 kulcshoz a következő bejegyzéseket:
. uid=[véletlenszerűen generált érték]
. port=2745
. frun=1
– a fent említett véletlenszerűen generált érték egy egyedi azonosítóként szolgál
– megnyitja a 2745-ös TCP portot, amin keresztül jogosulatlan hozzáférést kínál a fertőzött számítógéphez
– HTTP GET kérelmeket küld a 80-as TCP porton át a következő website-oknak:
. permail.uni-muenster.de
. www.songtext.net/de
. www.sportscheck.de
– a GET kérelmek magukban foglalják azt a portszámot, melyen a fertőzött számítógép hallgatózik, illetve az uid kulcsban lementett egyedi azonosítót
– megkísérli a rendszerre telepített behatolásvédelmi szoftverek futó process-einek leállítását
– a helyi meghajtókat feltérképezi e-mailcímek után kutatva; ehhez a következő kiterjesztéssel bíró állományokat keresi meg: .wab, .txt, .htm, .html, .dbx, .mdx, .eml, .nch , .mmf, .ods, .cfg, .asp, .php, .pl, .adb, .sht
– saját SMTP motorjának használatával az így megszerzett címekre továbbítja magát ; ez alól csak az alábbi sztringek valamelyikével bíró címek képeznek kivételt:
.gr, @hotmail.com, @msn.com, @microsoft, @avp., noreply, local, root@, postmaster@