Egy újabb, elektronikus leveken keresztül nagyon gyorsan terjedő variánsa jelent meg Beagle féregnek.

A Beagle féreg továbbra is komolyan veszélyezteti a számítógépeket. A féreg az elődeihez hasonlóan a saját SMTP komponensének segítségével elektronikus levelekbe küldi tovább magát. Az új Beagle.BG egy hátsó kaput nyit a fertőzött rendszereken, melyen keresztül a támadók jogosulatlan rendszerhozzáférést szerezhetnek.

Amikor a W32.Beagle.BG elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehoz a Windows System könyvtárába egy windlhhl.exe fájlt.

2. Létrehozza a regisztrációs adatbázisba az alábbi kulcsokat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ru1n

3. A regisztrációs adatbázis
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
kulcsához hozzáadja az
"erghgjhgdr" = "%Sym%\windlhhl.exe" értéket.

4. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.

5. Nyit egy hátsó kaput a 80-as TCP vagy UDP porton. Ezt email relay kialakításához lehet felhasználni.

6. Letölt egy fájlt az oceancareers.com/z/sss2.php címről, majd ezt elmenti a Windows könyvtárába eml.exe néven.

7. Különböző kiterjesztésű fájlokból összegyűjti az email címeket, majd ezekre továbbküldi magát.
A fertőzött leveleknek nincs tárgya, míg az üzenetük: "new price" vagy "price" lehet.

A fertőzött levelek mellékletéhez tartozó fájl neve az alábbi listából kerül ki:
price.zip
price2.zip
price_new.zip
price_08.zip
08_price.zip
newprice.zip
new_price.zip
new__price.zip

8. A következő kulcsok regisztrációs adatbázisból való kitörlésével alacsonyabb szintűre állítja a Windows biztonsági beállításait:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\9XHtProtect
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\Antivirus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\EasyAV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\FirewallSvr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\HtProtect
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\ICQ Net
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\ICQNet
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\Jammer2nd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\KasperskyAVEng
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\MsInfo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\My AV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\NetDy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\Norton Antivirus AV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\PandaAVEngine
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\SkynetsRevenge
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\Special Firewall Service
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\SysMonXP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\Tiny AV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\Zone Labs Client Ex
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\service
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\9XHtProtect
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\Antivirus
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\EasyAV
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\FirewallSvr
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\HtProtect
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\ICQ Net
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\ICQNet
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\Jammer2nd
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\KasperskyAVEng
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\MsInfo
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\My AV
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\NetDy
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\Norton Antivirus AV
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\PandaAVEngine
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\SkynetsRevenge
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\Special Firewall Service
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\SysMonXP
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\Tiny AV
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\Zone Labs Client Ex
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ru1n\service