Az F-Secure antivírus cég 2004. július 15-én éjjel észlelte a Beagle.AF nevű új Internetes féreg megjelenését, amely a korábbi változatokhoz hasonlóan e-mailben terjed, és hátsóajtó programot próbál telepíteni a fertőzött rendszerekre.

Valójában a féreg csak a korábbi Beagle.AA és Beagle.Z férgek koppintása,
az eredetiség hiánya azonban láthatólag nem akadályozza gyors ütemű
terjedését.

A féreg az e-mailhez csatolt BAT, CMD, COM, COMO, CPL, EXE, JS, JSE, PIF,
SCR, VBE, VBS, WSF, WSH, WSWH és ZIP kiterjesztésű
csatolt fájlokban terjed. Amennyiben jelszavas ZIP-ben érkezik, a féreg
futtatásához szükséges jelszót egy a levélbe rejtett BMP képfájl
tartalmazza.

Fertőzés:
Maga a féreg egy UPX-szel tömörített, változó méretű (20-31 KB-os)
futtatható fájl, amelynek bizonyos részei kódolt adatokat tartalmaznak,
így próbálva megnehezíteni a felismerést. Futtatáskor SYSYP.EXE néven a
Windows rendszer-mappájába másolja magát, és a következő bejegyzést adja
az alábbi registry-kulcshoz:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"sysxp.exe" = "%System%sysxp.exe"

Továbbá két egyéb fájlt hoz létre a %System% mappában:
sysxp.exeopen
sysxp.exeopenopen

Ezek közül az első maga a féreg, egy másfajta véletlenszerűen generált
kóddal a fájl végén, míg a második egy script;
mindkettő az e-mailben való terjedéshez szükséges.

(Megjegyzés: a %System% mappajelzés egy környezeti változó, amely a
Windows verziójától függően alapértelmezésben
C:WindowsSystem, C:WINNTSystem32 vagy C:WindowsSystem32 lehet.)

Terjedés:
A Beagle.AF féreg átnézi a gépen található .DHTM és .SHTM kiterjesztésű
fájlokat és ezekből e-mail címeket gyűjt, majd a fertőzött leveleket saját
SMTP motorja segítségével küldi el a címzetteknek.

Olyan címekre azonban, amelyek tartalmazzák az @avp, @iana, @messagelab,
@microsoft, @hotmail, abuse, admin, anyone@, bugs@,
cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google,
help@, icrosoft, info@, linux, listserv, local, nobody@, noone@, noreply,
ntivi, panda, postmaster@, rating@, root@, samples, sopho, support,
update, winrar vagy winzip karaktersorozatok valamelyikét, a kártevő nem
küld fertőzött levelet.

A féreg "szokás szerint" meghamisítja a levél feladóját

A Beagle.AF fájlcserélő (P2P) hálózatokon is megpróbál terjedni, ezért
megvizsgálja a fertőzött gépek merevlemezét, és ha olyan mappát
talál, melynek a nevében szerepel a "shar" karakterlánc, a következő
neveken másolja oda magát:

ACDSee 9.exe, Adobe Photoshop 9 full.exe, Ahead Nero 7.exe, Kaspersky
Antivirus 5.0, KAV 5.0, Matrix 3 Revolution English Subtitles.exe,
Microsoft Office 2003 Crack, Working!.exe, Microsoft Office XP working
Crack, Keygen.exe, Microsoft Windows XP, WinXP Crack, working Keygen.exe,
Opera 8 New!.exe, Porno pics arhive xxx.exe, Porno Screensaver.scr, Porno,
sex, oral, anal cool, awesome!!.exe, Serials.txt.exe, WinAmp 5 Pro Keygen
Crack Update.exe, WinAmp 6 New!.exe, Windown Longhorn Beta Leak.exe,
Windows Sourcecode update.doc.exe, XXX hardcore images.exe

Büntető rutin:
A féreg egy hátsóajtón komponenst is telepít, mely jogosulatlan távoli
hozzáférést engedélyez a fertőzött PC-khez a 1080-as TCP porton és egy
változó UDP porton keresztül. A kártevő megkísérel kapcsolódni a
programkódjában egy listán rögzített nagyszámú webhely valamelyikéhez,
hogy átadja a fertőzött gép adatait egy PHP scriptnek.

Ebből arra lehet következtetni, hogy a kártevő készítői listát készítenek
a teremtményük által megfertőzött rendszerekről. Ezen lista további sorsa
nem ismeretes, azonban valószínűleg a spammereknél fog kikötni.

Elődeihez hasonlóan a Beagle.AF is megpróbál leállítani nagy számú, a
memóriában futó folyamatot (elsősorban bizonyos biztonsági
szoftverek komponenseit), hogy ezzel védtelenné tegye a fertőzött gépet.

A Beagle.AF eltávolítja a Netsky férget:
Továbbra is zajlik a háború a Beagle és Netsky férgek készítői között - a
Beagle legújabb variánsa törli a következő, a Netsky-hez tartozó
registry-bejegyzéseket:

9xHtProtect, Antivirus, EasyAV, FirewallSvr, HtProtect, ICQ NH+, ICQNet,
Jammer2nd, KasperskyAVEng, MsInfo, My AV, NetDy, Norton
Antivirus AV, PandaAVEngine, Service, SkynetsRevenge, Special Firewall
Service, SysMonXP, Tiny AV, Zone Labs Client Ex

Ezen kívül a Beagle.AF a Netsky változatok terjedésének megakadályozása
érdekében létrehoz és lefoglal a memóriában bizonyos "mutex"-eket
(kölcsönös kizárás), amelyek a másik féreg muködéséhez nélkülözhetetlenek.

A Beagle.AF féreggel kapcsolatban az F-Secure cég 2004. július 16-án kora
hajnalban közepes szintű, Radar Level 2-es riasztást adott ki.

Az F-Secure és Kaspersky Anti-Virus szoftverek a [version=2004-07-16_01]
vagy újabb dátumú frissítéssel már védelmet nyújtanak a féreg ellen. Trend
Micro szoftver használata esetén legalább 1.938.00-ás verziójú pattern
fájl szükséges.

A féreg részletesebb leírása itt olvasható:

http://www.virushirado.hu/virh-virusleir.php?oid=268435582