Mellékleteink:

HUP Gamekapocs

Szerző: Bodnár Ádám

2004. március 1. 09:43

Gyorsan terjed a Beagle féreg legújabb változata

[Vírushíradó] Február 28-án hajnalban fedezték fel a Beagle.C nevű férget, amely e-mailben terjed, és trójai programot próbál telepíteni a fertőzött rendszerekre. A kártevő korábbi, B variánsa programozása szerint a hónap végéig működött, mostantól átveszi helyét az új, C változat, mely 2004. március 14.-ig működőképes. A féreg egy teljesen üres levélben, csatolt fájlként érkezhet.

[Vírushíradó] Február 28-án hajnalban fedezték fel a Beagle.C nevű férget, amely e-mailben terjed, és trójai programot próbál telepíteni a fertőzött rendszerekre. A kártevő korábbi, B variánsa programozása szerint a hónap végéig működött, mostantól átveszi helyét az új, C változat, mely 2004. március 14.-ig működőképes. A féreg egy teljesen üres levélben, csatolt fájlként érkezhet.

A féreg hamisítja a levelek feladóját, tárgyat pedig az alábbi listából választ:

Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
>From Hair-cutter
>From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price list
Pricelist
Price-list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he

A fertõzött levelek törzse teljesen üres, a csatolt fájl neve pedig véletlenszerû karakterekbõl áll. A Beagle.C programikonja egy Excel dokumentumra emlékeztet, az ikon képaláírása azonban árulkodó lehet, például "ympbumef.exe", ami megmutatja a káros kód valódi fájlkiterjesztését.

A féreg csak akkor aktivizálódik, ha a mellékletet kézzel lefuttatják. Ekkor ellenõrzi a rendszerdátumot és ha az 2004. március 14-i vagy annál késõbbi idõpontra esik, megszakítja futását. A Beagle.C féreg átnézi a gépen található .adb, .asp, .cfg, .dbx, .eml, .htm, .html, .mdx, .mmf, .nch, .ods, .php, .pl, .sht, .txt, .wab kiterjesztésû fájlokat és ezekbõl e-mail címeket gyûjt. A fertõzött leveleket saját SMTP motorja segítségével küldi el a címzetteknek. Olyan címekre azonban, amelyek tartalmazzák a .ch, @hotmail.com, @msn.com, @microsoft, @avp., noreply, local, root@, postmaster@ karaktersorozatok valamelyikét, a kártevõ nem küld fertőzött levelet.

A féreg egy hátsó ajtón komponenst is telepít, mely jogosulatlan távoli hozzáférést engedélyez a fertőzött PC-khez a 2745-ös TCP porton keresztül. A féreg megkísérel kapcsolódni a programkódjában rögzített webhelyek valamelyikéhez, hogy átadja a fertőzött gép adatait egy PHP szkriptnek. Ebből arra lehet következtetni, hogy a kártevő készítői listát készítenek a teremtményük által megfertőzött rendszerekről, ezen lista további sorsa egyelőre ismeretlen, bár nagy valószínûséggel spammereknél fog kikötni.

a címlapról