Megújult a Beagle féregvírus is

A fertőzött e-mail tulajdonságai

Feladó: hamis cím

Tárgy: egy sok elemből álló listából válogat

Tartalom: csak akkor rendelkezik tartalommal, ha a csatolmány ZIP file, ebben az esetben a következők közül választ egyet:
– For security reasons attached file is password protected. The password is
– For security purposes the attached file is password protected. Password —
– Note: Use password
– Attached file is protected with the password for security reasons. Password is
– In order to read the attach you have to use the following password:
– Archive password:
– Password
– Password:

Csatolmány: amennyiben nem ZIP kiterjesztésű, a levél tartalma üres marad

A féreg paraméterei

Felfedezésének ideje: 2004. április 28.
Utolsó frissítés ideje: 2004. április 28.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjelenít egy üzenetablakot a következő szöveggel: Can´t find a viewer associated with the file.
– létrehozza a memóriában a következő mutexeket annak érdekében, hogy megakadályozza a rivális Netsky féreg betöltődését:
. MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
. ´D´r´o´p´p´e´d´S´k´y´N´e´t´
. _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
. [SkyNet.cz]SystemsMutex
. AdmSkynetJklS003
. ____—>>>>U<<<<--____
. _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsok következő értékeit:
. My AV
. Zone Labs Client Ex
. 9XHtProtect
. Antivirus
. Special Firewall Service
. service
. Tiny AV
. ICQNet
. HtProtect
. NetDy
. Jammer2nd
. FirewallSvr
. MsInfo
. SysMonXP
. EasyAV
. PandaAVEngine
. Norton Antivirus AV
. KasperskyAVEng
. SkynetsRevenge
. ICQ Net
– bemásolja magát a System könyvtárba Drvddll.exe néven
– ugyanitt létrehozza a Drvddll.exeopen és a Drvddll.exeopenopen állományokat, valamint képfile-okat és egy szöveges állományt is
– amennyiben a rendszerdátum 2005. január 25-e utáni, a féreg automatikusan eltávolítja magát a rendszerből
– hozzáadja a Drvddll_exe=[System elérési útvonala]/drvddll.exe bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megnyitja a 2535-ös TCP portot, mellyel lehetővé tesz file-letöltéseket és -futtatásokat
– minden olyan könyvtárban létrehozza önmaga másolatát, amelynek neve tartalmazza a ˝shar˝ sztringet; ehhez a következő figyelemfelkeltő nevek valamelyikét használja fel:
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Microsoft Office XP working Crack, Keygen.exe
. Porno, sex, oral, anal cool, awesome!!.exe
. Porno Screensaver.scr
. Serials.txt.exe
. KAV 5.0
. Kaspersky Antivirus 5.0
. Porno pics arhive, xxx.exe
. Windows Sourcecode update.doc.exe
. Ahead Nero 7.exe
. Windown Longhorn Beta Leak.exe
. Opera 8 New!.exe
. XXX hardcore images.exe
. WinAmp 6 New!.exe
. WinAmp 5 Pro Keygen Crack Update.exe
. Adobe Photoshop 9 full.exe
. Matrix 3 Revolution English Subtitles.exe
. ACDSee 9.exe
– a helyi meghajtókon e-mailcímek után kutat, majd minden kontakt számára továbbítja magát
– egy PHP script révén különböző weboldalakhoz próbál csatlakozni
– leállítja a rendszerre telepített behatolásvédelmi programok futó process-eit