W32.Beagle.AG@mm là một loại "bom thư" sử dụng động cơ SMTP riêng để lây nhiễm qua e-mail, và mở một thành phần "cổng sau" tại cổng TCP/1080 để kẻ tấn công có thể kết nối trái phép tới máy tính nạn nhân.

Hệ điều hành lây nhiễm: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Ngày phát tác: 19/7/2004

Mô tả:

Khi thực thi, W32.Beagle.AG@m sẽ thực thi các tác vụ sau:

1. Xoá bất cứ giá trị nào chứa các chuỗi sau:
   
   9XHtProtect
   Antivirus
   EasyAV
   FirewallSvr
   HtProtect
   ICQ Net
   ICQNet
   Jammer2nd
   KasperskyAVEng
   MsInfo
   My AV
   NetDy
   Norton Antivirus AV
   PandaAVEngine
   service
   SkynetsRevenge
   Special Firewall Service
   SysMonXP
   Tiny AV
   Zone Labs Client Ex
   
   ... từ các khoá:
   
   HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
   HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

2. Tạo ra các file sau:
   
   %System%winxp.exe
   %System%winxp.exeopen
   %System%winxp.exeopenopen
   %System%winxp.exeopenopenopen
   %System%winxp.exeopenopenopenopen
   
   Chú ý: %System% là một biến và virus có thể xác định được vị trị của thư mục hệ thống và tự nhân bản vào đó. Theo mặc định, vị trí của thư mục hệ thống sẽ là:  C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), hoặc C:WindowsSystem32 (Windows XP).

3. Thả file winxp.exeopenopen vào thư mục hệ thống: %System%winxp.exeopenopen (có thể là file zip hoặc cpl).
    

   • Nếu file ở định dạng .zip, nó sẽ chứa hai file có tên ngẫu nhiên. Một file sẽ là file .exe và file còn lại là file text với phần mở rộng: .sys, .dat, .idx, .vxd, .vid, hoặc .dll.

   • Nếu file ở dạng .cpl, khi thực thi sẽ thả một file có tên cjector.exe vào thư mục %Windir%.
     
     Chú ý: %Windir% là một biến và sâu có thể xác định được thư mục cài đặt Windows và tự nhân bản vào thư mục đó, mặc định là: C:Windows hoặc C:Winnt

4. Bổ sung giá trị:
   
   "key" = "%System%winxp.exe"
   
   ... và khoá registry sau để sau có thể tự động chạy khi hệ thống khởi động:
   
   HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

5. Mở cổng sau tại TCP/1080.

6. Kết nối với các đoạn script .php tại một số các tên miền quy định trước (danh sách được liệt kê ở cuối bài).

7. Chấm dứt một số process (tiến trình) bảo mật (danh sách được liệt kê ở cuối bài).

8. Nếu ngày của hệ thống sau: 5/5/2006, sâu sẽ thoát khỏi bộ nhớ và xoá các giá trị và khoá liên quan tới sâu:
   
   HKEY_CURRENT_USERSOFTWAREase_path

9. Cố tạo ra các bản copy của sâu tại bất kỳ một thư mục nào có chứa ký tự "shar." Các file virus này như sau:  
    

   • ACDSee 9.exe

   • Adobe Photoshop 9 full.exe

   • Ahead Nero 7.exe

   • Kaspersky Antivirus 5.0

   • KAV 5.0

   • Matrix 3 Revolution English Subtitles.exe

   • Microsoft Office 2003 Crack, Working!.exe

   • Microsoft Office XP working Crack, Keygen.exe

   • Microsoft Windows XP, WinXP Crack, working Keygen.exe

   • Opera 8 New!.exe

   • Porno pics arhive, xxx.exe

   • Porno Screensaver.scr

   • Porno, sex, oral, anal cool, awesome!!.exe

   • Serials.txt.exe

   • WinAmp 5 Pro Keygen Crack Update.exe

   • WinAmp 6 New!.exe

   • Windown Longhorn Beta Leak.exe

   • Windows Sourcecode update.doc.exe

   • XXX hardcore images.exe

10. Tìm kiếm các địa chỉ e-mail trong các file có các phần mở rộng sau:
     

    • .adb

    • .asp

    • .cfg

    • .cgi

    • .dbx

    • .dhtm

    • .eml

    • .htm

    • .jsp

    • .mbx

    • .mdx

    • .mht

    • .mmf

    • .msg

    • .nch

    • .ods

    • .oft

    • .php

    • .pl

    • .sht

    • .shtm

    • .stm

    • .tbb

    • .txt

    • .uin

    • .wab

    • .wsh

    • .xls

    • .xml

11. Sử dụng động cơ SMTP riêng để gửi thư tới bất cứ một địa chỉ e-mail nào tìm thấy. Các e-mail nhiễm virus có thể mang các đặc điểm sau:
    
    From:
    
    Subject: Re_
    
    Thông điệp:
     ả>

    • foto3 and MP3

    • fotogalary and Music

    • fotoinfo

    • Lovely animals

    • Animals

    • Predators

    • The snake

    • Screen and Music
      
      Phần đính kèm: (là một trong các tên sau)

    • Cat

    • Cool_MP3

    • Dog

    • Doll

    • Fish

    • Garry

    • MP3

    • Music_MP3

    • New_MP3_Player
      
      
      Phần mở rộng của file đính kèm:
       

    • .exe

    • .scr

    • .com

    • .cpl

    • .zip (this will be password protected)

Tên miền

W32.Beagle.AG@mm sẽ cố kết nối tới các tên miền sau:

• abtacha.wirebrain.de

• begros.de

• deepiceman.de

• dfk-crew.clanintern.de

• die-cliquee.de

• edwinf.surfplanet.de

• knecht.cs.uni-magdeburg.de

• login.rz.fh-augsburg.de

• niematec.de

• obechmann.de

• pe-data.de

• people-ftp.freenet.de

• people-ftp.freenet.de

• people-ftp.freenet.de

• ronnyackermann.de

• sgi1.rz.rwth-aachen.de

• symbit.de

• tripod.de

• web154.essen082.server4free.de

• web216.berlin240.server4free.de

• www.aachen.de

• www.abacho.de

• www.anwaltverein.de

• www.aquarius.geomar.de

• www.astronomie.de

• www.atlantis-show.de

• www.atlas-hannover.de

• www.awi-bremerhaven.de

• www.baden-wuerttemberg.de

• www.bayerninfo.de

• www.beck.de

• www.berlinonline.de

• www.bessy.de

• www.bitburger.de

• www.blk-bonn.de/

• www.bmgs.bund.de

• www.brigitte.de

• www.bundesliga.de

• www.calistyler.de

• www.citypopulation.de

• www.dar-fantasy.de

• www.dasding.de

• www.degruyter.de

• www.destatis.de

Tiến trình

W32.Beagle.AG@mm sẽ cố chấm dứt các tiến trình sau:

• AGENTSVR.EXE

• ANTI-TROJAN.EXE

• ANTI-TROJAN.EXE

• ANTIVIRUS.EXE

• ANTS.EXE

• APIMONITOR.EXE

• APLICA32.EXE

• APVXDWIN.EXE

• CLEAN.EXE

• CLEAN.EXE

• CLEANER.EXE

• CLEANER.EXE

• CLEANER3.EXE

• CLEANPC.EXE

• CLEANPC.EXE

• CMGRDIAN.EXE

• CMGRDIAN.EXE

• CMON016.EXE

• CMON016.EXE

• CPD.EXE

• DRWATSON.EXE

• DRWEBUPW.EXE

• ENT.EXE

• ESCANH95.EXE

• ESCANHNT.EXE

• ESCANV95.EXE

• MSSMMC32.EXE

• MU0311AD.EXE

• NAV80TRY.EXE

• NAVAPW32.EXE

• NAVDX.EXE

• NAVSTUB.EXE

• NAVW32.EXE

• NC2000.EXE

• NCINST4.EXE

• NDD32.EXE

• NEOMONITOR.EXE

• NETARMOR.EXE

• NETINFO.EXE

• NETMON.EXE

• NETSCANPRO.EXE

• POPROXY.EXE

• POPSCAN.EXE

• PORTDETECTIVE.EXE

• PPINUPDT.EXE

• PPTBC.EXE

• PPVSTOP.EXE

• PROCEXPLORERV1.0.EXE

• PROPORT.EXE

• PROTECTX.EXE

• SUPPORTER5.EXE

• SYMPROXYSVC.EXE

• SYSEDIT.EXE

• TASKMON.EXE

• TAUMON.EXE

• TAUSCAN.EXE

• TC.EXE

• TCA.EXE

• TCM.EXE

• TDS2-98.EXE

• TDS2-NT.EXE

• TDS-3.EXE

• TFAK5.EXE

• TGBOB.EXE

• TITANIN.EXE

• TITANINXP.EXE

• TRACERT.EXE

• TRJSCAN.EXE

• TRJSETUP.EXE

• TROJANTRAP3.EXE

• UNDOBOOT.EXE

• UPDATE.EXE

• VSWINNTSE.EXE

• VSWINPERSE.EXE

• W32DSM89.EXE

• W9X.EXE

• WATCHDOG.EXE

• WEBSCANX.EXE

• WGFE95.EXE

• WHOSWATCHINGME.EXE

• WHOSWATCHINGME.EXE

• WINRECON.EXE

• WNT.EXE

• WRADMIN.EXE

• WRCTRL.EXE

• WSBGATE.EXE

• WYVERNWORKSFIREWALL.EXE

• XPF202EN.EXE

• ZAPRO.EXE

• ZAPSETUP3001.EXE

• ZATUTOR.EXE

• ZAUINST.EXE

• ZONALM2601.EXE

• ZONEALARM.EXE

Bạn có thể tải công cụ diệt virus W32.Beagle.AG@mm tại đây