Nová mutace červa Beagle.J vychází z předchozích variant – šíří se hromadně pomocí emailu a na počítači vytváří „zadní vrátka“ v podobě otevřeného TCP portu 2745. Varianta J se také šíří pomocí výměnných sítí KaZaa a iMesh.
Pokud dojde k aktivaci červa, provedou se následující činnosti:
Pomocí svého vlastního SMTP enginu rozesílá své kopie na nalezené emailové adresy. Při šíření se červ vyhýbá těmto řetězcům v emailových adresách:
- @hotmail.com
- @msn.com
- @microsoft
- @avp.
- noreply
- local
- root@
- postmaster@
Email má následující charakteristiku:
Od: <náhodně>(jedna z následujících možností):
- management@<recipient domain>
- administration@<recipient domain>
- staff@<recipient domain>
- noreply@<recipient domain>
- support@<recipient domain>
Předmět: (jedna z následujících možností):
- E-mail account disabling warning.
- E-mail account security warning.
- Email account utilization warning.
- Important notify about your e-mail account.
- Notify about using the e-mail account.
- Notify about your e-mail account utilization.
- Warning about your e-mail account.
Text zprávy - Jedno z následujících oslovení:
- Dear user of <doména>,
- Dear user of < doména > gateway e-mail server,
- Dear user of e-mail server "< doména >",
- Hello user of < doména > e-mail server,
- Dear user of "< doména >" mailing system,
- Dear user, the management of < doména > mailing system wants to let you know that,
Pokračující jedním z těchto odstavců:
- Your e-mail account has been temporary disabled because of unauthorized access.
- Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
- Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
- We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
- Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
- Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.
Závěr emailu:
- For more information see the attached file.
- Further details can be obtained from attached file.
- Advanced details can be found in attached file.
- For details see the attach.
- For details see the attached file.
- For further details see the attach.
- Please, read the attach for further details.
- Pay attention on attached file.
Podpis:
- The <doména> team http://www.<doména>
- The Management,
- Sincerely,
- Best wishes,
- Have a good day,
- Cheers,
- Kind regards,
Příloha emailu: <jedna z následujících možností>.zip:
- Attach
- Information
- Readme
- Document
- Info
- TextDocument
- TextFile
- MoreInfo
- Message