Újra támad a Beagle féregvírus

A fertőzött levél tulajdonságai

Tárgy: az alábbiak egyike:
– Delivery by mail
– Delivery service mail
– Is delivered mail
– Registration is accepted
– You are made active

Tartalom: a következő kettő közül egy:
– Before use read the help
– Thanks for use of our software.

Csatolmány: .com, .cpl, .exe vagy .scr kiterjesztésű állomány

A féreg paraméterei

Felfedezésének ideje: 2005. január 26.
Utolsó frissítés ideje: 2005. január 27.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó (AY), 19.810 byte (AZ)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– letörli a My AV és az ICQ Net bejegyzéseket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsokból
– létrehozza a System könyvtárban a sysformat.exe, a sysformat.exeopen és a sysformat.exeopenopen állományokat
– hozzáadja a Sysformat=[System elérési útvonala]/sysformat.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run kulcshoz
– létrehozhatja a következő kulcsokat a rendszerleíró adatbázisban:
. HKEY_CURRENT_USER/Software/Microsoft/DownloadManager
. HKEY_LOCAL_MACHINE/Software/Microsoft/DownloadManager
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– a merevlemezen olyan mappák után kutat, melyek tartalmazzák a shar sztringet nevükben
– különböző file-okban e-mailcímek után kutat
– saját SMTP-motorja révén az így megszerzett címekre elküldi magát
– letölt és re_file.exe néven elment egy állomány a System mappába