Gyors ütemben terjed az interneten a Beagle.AF féreg –riasztási fokozata közepes
A féreg az e-mailhez csatolt BAT, CMD, COM, COMO, CPL, EXE, JS, JSE, PIF, SCR, VBE, VBS, WSF, WSH, WSWH és ZIP kiterjesztésű csatolt fájlokban terjed. Amennyiben jelszavas ZIP-ben érkezik, a féreg futtatásához szükséges jelszót egy a levélbe rejtett BMP képfájl tartalmazza.
FERTŐZÉS
Maga a féreg egy UPX-szel tömörített, változó méretű (20-31 KB-os) futtatható fájl, amelynek bizonyos részei kódolt adatokat tartalmaznak, így próbálva megnehezíteni a felismerést. Futtatáskor SYSYP.EXE néven a Windows rendszer-mappájába másolja magát, továbbá két egyéb fájlt hoz létre a System mappában: sysxp.exeopen; sysxp.exeopenopen
Közülük az első maga a féreg, egy másfajta véletlenszerűen generált kóddal a fájl végén, míg a második egy script; mindkettő az e-mailben való terjedéshez szükséges.
TERJEDÉS
A Beagle.AF féreg átnézi a gépen található .DHTM és .SHTM kiterjesztésű fájlokat és ezekből e-mail címeket gyűjt, majd a fertőzött leveleket saját SMTP motorja segítségével küldi el a címzetteknek. Olyan címekre azonban, amelyek tartalmazzák az @avp, @iana, @messagelab, @microsoft, @hotmail, abuse, admin, anyone@, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, linux, listserv, local, nobody@, noone@, noreply, ntivi, panda, postmaster@, rating@, root@, samples, sopho, support,mupdate, winrar vagy winzip karaktersorozatok valamelyikét, a kártevő nem küld fertőzött levelet. A féreg "szokás szerint" meghamisítja a levél feladóját.
A Beagle.AF fájlcserélő (P2P) hálózatokon is megpróbál terjedni, ezért megvizsgálja a fertőzött gépek merevlemezét, és ha olyan mappát talál, melynek a nevében szerepel a "shar" karakterlánc, a következő neveken másolja oda magát: ACDSee 9.exe, Adobe Photoshop 9 full.exe, Ahead Nero 7.exe, Kaspersky Antivirus 5.0, KAV 5.0, Matrix 3 Revolution English Subtitles.exe, Microsoft Office 2003 Crack, Working!.exe, Microsoft Office XP working Crack, Keygen.exe, Microsoft Windows XP, WinXP Crack, working Keygen.exe, Opera 8 New!.exe, Porno pics arhive xxx.exe, Porno Screensaver.scr, Porno, sex, oral, anal cool, awesome!!.exe, Serials.txt.exe, WinAmp 5 Pro Keygen Crack Update.exe, WinAmp 6 New!.exe, Windown Longhorn Beta Leak.exe, Windows Sourcecode update.doc.exe, XXX hardcore images.exe.
BÜNTETŐ RUTIN
A féreg egy hátsóajtón komponenst is telepít, mely jogosulatlan távoli hozzáférést engedélyez a fertőzött PC-khez a 1080-as TCP porton és egy változó UDP porton keresztül. A kártevő megkísérel kapcsolódni a programkódjában egy listán rögzített nagyszámú webhely valamelyikéhez, hogy átadja a fertőzött gép adatait egy PHP scriptnek. Ebből arra lehet következtetni, hogy a kártevő készítői listát készítenek a teremtményük által megfertőzött rendszerekről. Ezen lista további sorsa nem ismeretes, azonban valószínűleg a spammereknél fog kikötni.
Elődeihez hasonlóan a Beagle.AF is megpróbál leállítani nagy számú, a memóriában futó folyamatot (elsősorban bizonyos biztonsági szoftverek komponenseit), hogy ezzel védtelenné tegye a fertőzött gépet.
A BEAGLE.AF ELTÁVOLÍTJA A NETSKY FÉRGET
Továbbra is zajlik a háború a Beagle és Netsky férgek készítői között – a Beagle legújabb variánsa törli a következő, a Netsky-hez tartozó registry-bejegyzéseket: 9xHtProtect, Antivirus, EasyAV, FirewallSvr, HtProtect, ICQ NH+, ICQNet, Jammer2nd, KasperskyAVEng, MsInfo, My AV, NetDy, Norton Antivirus AV, PandaAVEngine, Service, SkynetsRevenge, Special Firewall Service, SysMonXP, Tiny AV, Zone Labs Client Ex.
Ezenkívül a Beagle.AF a Netsky változatok terjedésének megakadályozása céljából létrehoz és lefoglal a memóriában bizonyos "mutex"-eket (kölcsönös kizárás), amelyek a másik féreg működéséhez nélkülözhetetlenek.
A Beagle.AF féreggel kapcsolatban az F-Secure cég 2004. július 16-án kora hajnalban közepes szintű, Radar Level 2-es riasztást adott ki. Az F-Secure és Kaspersky Anti-Virus szoftverek a [version=2004-07-16_01] vagy újabb dátumú frissítéssel már védelmet nyújtanak a féreg ellen. Trend Micro szoftver használata esetén legalább 1.938.00-ás verziójú pattern fájl szükséges.
A féreg részletesebb leírását az alábbi weboldalon olvashatja: www.virushirado.hu/virh-virusleir.php?oid=268435582
hírdetés
