Antivirové společnosti varují před červem Beagle.AB

Vít Jurásek 16. července 2004

Další
článek Padající ceny PC stojí za silným růstem prodejů počítačů v Evropě SDÍLET NA FACEBOOKU TWEETNOUT

Emailový červ, kterého antivirové společnosti označily názvem Beagle.AB, dosáhl vyššího stupně hodnocené nebezpečnosti převážně kvůli spektru prováděných činností. Opět se jedná o hromadně se šířícího emailového červa, který otevírá zadní vrátka do počítače na TCP portu 1080.

Červ se po svém spuštění usídlí do těchto souborů:

%System%\sysxp.exe
%System%\sysxp.exeopen (kopie s náhodně připojenými daty)
%System%\sysxp.exeopenopen (zip soubor s červem)
%System%\sysxp.exeopenopenopen (obrázek jpg, gif nebo bmp)

Ihned po spuštění se červ zaměří na systémové registry, kde hledá záznamy spojené s antivirovými či bezpečnostními programy. Ty hned po nalezení maže, čímž snižuje riziko svého odhalení. Vyhledávanými řetězci jsou: "My AV", "Zone Labs Client Ex", "9XHtProtect", "Antivirus", "Special Firewall Service", "service", "Tiny AV", "ICQNet", "HtProtect", "NetDy", "Jammer2nd", "FirewallSvr", "MsInfo", "SysMonXP", "EasyAV", "PandaAVEngine", "Norton Antivirus AV", "KasperskyAVEng", "SkynetsRevenge", "ICQ Net". V registrech červ myslí také na sebe a proto sám sebe zaregistruje pro automatické spouštění po startu Windows.

Na TCP portu 1080 otevírá zadní vrátka do počítače, která kromě jiného umožní využívat počítač jako email relay.

Pokud je napadený počítač připojený k internetu, pokouší se červ přistupovat na PHP skripty na více než 140 předdefinovaných webových adresách. Pro zamezení jednoduchého odhalení se červ navíc pokouší přímo ukončit procesy antivirových a bezpečnostních programů, kterých má nadefinováno více než 220.

Reprodukční rutina zůstává hodně podobná jako u předchozích verzí – červ prochází lokální disk, na kterém hledá emailové adresy. Na ně se následně rozesílá pomocí vlastního SMTP engine v emailu s následující charakteristikou:

Od: <vymyšleno> Předmět: (jedna z následujících možností)