Az F-Secure antivírus cég 2004. augusztus 9-én délután észlelte a Beagle.AL nevű új Internetes féreg megjelenését, amely a korábbi változatokhoz hasonlóan e-mailben terjed, és hátsóajtó programot próbál telepíteni a fertőzött rendszerekre.
A féreg a korábbi Beagle.Z féreg módosított változatának tűnik.
Névváltozatok: Bagle, Begle, Bagel - .AC, .AO, .AN vagy .AQ sorszámmal
A féreg az e-mailhez csatolt, kizárólag ZIP kiterjesztésű melléklet fájlokban terjed. Amennyiben jelszavas ZIP-ben érkezik, a féreg futtatásához szükséges jelszót egy a levélbe rejtett BMP képfájl tartalmazza.
A melléklet neve mindig tartalmazza a "price" szócskát.
Fertőzés:
A fent említett .ZIP fájl két állományt tartalmaz, PRICE.HTML és PRICE.EXE nevűeket. Azonban csak a hypertext állomány látható, erre rákattintva indítja el a felhasználó az .EXE-t, amely egy webhelyről tölti le a tényleges férget és ezzel megfertőzi a gépet. Maga a féreg egy 14,848 bájtos (tömörítve 5.932 bájtos) futtatható fájl, amelynek bizonyos részei kódolt adatokat tartalmaznak, így próbálva megnehezíteni a felismerést.
Futtatáskor Windll.exe néven a Windows rendszer-mappájába másolja magát, és a következő bejegyzést adja az alábbi registry-kulcshoz:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"windll.exe" = "%System%windll.exe"
Továbbá egyéb fájlokat hoz létre a SHAR szócskát tartalmazó nvű mappákban: "Porno pics arhive, xxx.exe"
"Porno video arhive, xxx.exe"
(Megjegyzés: a %System% mappajelzés egy környezeti változó, amely a Windows verziójától függően alapértelmezésben C:WindowsSystem, C:WINNTSystem32 vagy C:WindowsSystem32 lehet. Ezek a fájlokban is a féreg kódja található.)
Terjedés:
A Beagle.AL féreg átnézi a gépen található bizonyos kiterjesztésű fájlokat és ezekből e-mail címeket gyűjt, majd a fertőzött leveleket saját SMTP motorja segítségével küldi el a címzetteknek.
Büntető rutin:
A féreg egy hátsóajtón komponenst is telepít, mely jogosulatlan távoli hozzáférést engedélyez a fertőzött PC-hez.
Elődeihez hasonlóan, a Beagle.AF is megpróbál leállítani a memóriában futó bizonyos folyamatokat (elsősorban biztonsági szoftverek komponenseit):
9XHtProtect Antivirus, EasyAV, FirewallSvr, HtProtect, ICQ Net, ICQNet, Jammer2nd, KasperskyAVEng, MsInfo, My AV, NetDy, Norton Antivirus AV, PandaAVEngine, service, SkynetsRevenge, Special Firewall Service, SysMonXP, TinyAV, Zone Labs ClientEx
Ezen kívül a Beagle.AL létrehoz és lefoglal a memóriában bizonyos mutex-eket (kölcsönös kizárás), saját több példányban történő futtatásának megakadályozására: MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D D r o p p e d S k y N e t _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_ [SkyNet.cz]SystemsMutex AdmSkynetJklS003 ____--->>>>U<<<<--____ _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Egyelőre nem lehet pontosan tudni, hogy a nem különösebben kiemelkedő féreg a saját erejéből, vagy a spammer-eszközökkel végzett, igen sikeres kezdeti terjesztés révén vált elterjedté. A Beagle.AL féreggel kapcsolatban az F-Secure cég 2004. augusztus 9-én késő este közepes szintű, Radar Level 2-es riasztást adott ki.
Forrás : Vírus Híradó