W32.Beagle.FD@mm
Pagina 1 di 1
W32.Beagle.FD@mm
Admin Mer Dic 02, 2009 11:52 pm
Tipo di minaccia: worm
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Media
W32.Beagle.FD@mm utilizza il proprio motore SMTP per inviare copie di un'altra minaccia, Trojan.Tooso.R. Il worm apre anche una porta di comunicazione sul computer infetto e abbassa le impostazioni della sicurezza.
COSA FA
Quando W32.Beagle.FD@mm viene eseguito si comporta nel modo seguente:
1. Genera le seguenti sottochiavi del registro:
HKEY_CURRENT_USER\Software\FirstRun648
2. Crea il mutex "sdfsdfsdf_mtx".
3. Apre una backdoor sulla porta TCP 80 che può permettere al computer infetto di agire come server proxy.
4. Verifica il collegamento Internet tentando di collegarsi al seguente server SMTP, tramite la porta TCP 25:
5. Tenta di contattare google.com e il seguente indirizzo IP:
217.5.97.137
6. Tenta di accedere ai seguenti siti Web e scaricare un file che contiene un elenco di indirizzi e-mail:
* [http://]www.titanmotors.com/images/1/ema[REMOVED]
* [http://]veranmaisala.com/1/ema[REMOVED]
* [http://]wklight.nazwa.pl/1/ema[REMOVED]
* [http://]yongsan24.co.kr/1/ema[REMOVED]
* [http://]accesible.cl/1/ema[REMOVED]
* [http://]hotelesalba.com/1/ema[REMOVED]
* [http://]amdlady.com/1/ema[REMOVED]
* [http://]inca.dnetsolution.net/1/ema[REMOVED]
* [http://]www.auraura.com/1/ema[REMOVED]
* [http://]avataresgratis.com/1/ema[REMOVED]
* [http://]beyoglu.com.tr/1/ema[REMOVED]
* [http://]brandshock.com/1/ema[REMOVED]
* [http://]www.buydigital.co.kr/1/ema[REMOVED]
* [http://]camaramafra.sc.gov.br/1/ema[REMOVED]
* [http://]camposequipamentos.com.br/1/ema[REMOVED]
* [http://]cbradio.sos.pl/1/ema[REMOVED]
* [http://]c-d-c.com.au/1/ema[REMOVED]
* [http://]www.klanpl.com/1/ema[REMOVED]
* [http://]coparefrescos.stantonstreetgroup.com/1/ema[REMOVED]
* [http://]creainspire.com/1/ema[REMOVED]
* [http://]desenjoi.com.br/1/ema[REMOVED]
* [http://]www.inprofile.gr/1/ema[REMOVED]
* [http://]www.diem.cl/1/ema[REMOVED]
* [http://]www.discotecapuzzle.com/1/ema[REMOVED]
7. Tenta di inviare via e-mail una copia di un'altra infezione, Trojan.Tooso.R agli indirizzi di e-mail contenuti nel file scaricato.
Le caratteristiche del messaggio e-mail sono le seguenti:
Da: [INDIRIZZO FALSIFICATO]
Oggetto: [NOME DI PERSONA CASUALE]
Messaggio: [NOME DI PERSONA CASUALE]
Dove [NOME CASUALE DI PERSONA] è uno dei seguenti:
* Ales
* Alice
* Alyce
* Andrew
* Androw
* Androwe
* Ann
* Anna
* Anne
* Annes
* Anthonie
* Anthony
* Anthonye
* Avice
* Avis
* Bennet
* Bennett
* Christean
* Christian
* Constance
* Cybil
* Daniel
* Danyell
* Dorithie
* Dorothee
* Dorothy
* Edmond
* Edmonde
* Edmund
* Edward
* Edwarde
* Elizabeth
* Elizabethe
* Ellen
* Ellyn
* Emanual
* Emanuel
* Emanuell
* Ester
* Frances
* Francis
* Fraunces
* Gabriell
* Geoffraie
* George
* Grace
* Harry
* Harrye
* Henrie
* Henry
* Henrye
* Hughe
* Humphrey
* Humphrie
* Isabel
* Isabell
* James
* Jane
* Jeames
* Jeffrey
* Jeffrye
* Joane
* Johen
* John
* Josias
* Judeth
* Judith
* Judithe
* Katherine
* Katheryne
* Leonard
* Leonarde
* Margaret
* Margarett
* Margerie
* Margerye
* Margret
* Margrett
* Marie
* Martha
* Mary
* Marye
* Michael
* Mychaell
* Nathaniel
* Nathaniell
* Nathanyell
* Nicholas
* Nicholaus
* Nycholas
* Peter
* Ralph
* Rebecka
* Richard
* Richarde
* Robert
* Roberte
* Roger
* Rose
* Rycharde
* Samuell
* Sara
* Sidney
* Sindony
* Stephen
* Susan
* Susanna
* Suzanna
* Sybell
* Sybyll
* Syndony
* Thomas
* Valentyne
* William
* Winifred
* Wynefrede
* Wynefreed
* Wynnefreede
Allegato: [NOME DI PERSONA CASUALE].zip
Nota: L'allegato contiene un file eseguibile chiamato 16-06-2006.exe, che è una copia di Trojan.Tooso.R.
8. Non si invia agli indirizzi di e-mail che contengono le stringhe seguenti:
* rating@
* f-secur
* news
* update
* anyone@
* bugs@
* contract@
* feste
* gold-certs@
* help@
* info@
* nobody@
* noone@
* kasp
* admin
* icrosoft
* support
* ntivi
* unix
* bsd
* linux
* listserv
* certific
* sopho
* @foo
* @iana
* free-av
* @messagelab
* winzip
* google
* winrar
* samples
* abuse
* panda
* cafee
* spam
* pgp
* @avp
* noreply
* local
* root@
* postmaster@
9. Tenta di raccogliere indirizzi di e-mail dal computer infetto cercando le seguenti estensioni di file:
* .wab
* .txt
* .msg
* .htm
* .shtm
* .stm
* .xml
* .dbx
* .mbx
* .mdx
* .eml
* .nch
* .mmf
* .ods
* .cfg
* .asp
* .php
* .pl
* .wsh
* .adb
* .tbb
* .sht
* .xls
* .oft
* .uin
* .cgi
* .mht
* .dhtm
* .jsp
10. Prova a contattare il seguente server remoto sulla porta 80 utilizzando una richiesta POST:
[http://]rodolfomejia.com/img/out1[REMOVED]
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Media
W32.Beagle.FD@mm utilizza il proprio motore SMTP per inviare copie di un'altra minaccia, Trojan.Tooso.R. Il worm apre anche una porta di comunicazione sul computer infetto e abbassa le impostazioni della sicurezza.
COSA FA
Quando W32.Beagle.FD@mm viene eseguito si comporta nel modo seguente:
1. Genera le seguenti sottochiavi del registro:
HKEY_CURRENT_USER\Software\FirstRun648
2. Crea il mutex "sdfsdfsdf_mtx".
3. Apre una backdoor sulla porta TCP 80 che può permettere al computer infetto di agire come server proxy.
4. Verifica il collegamento Internet tentando di collegarsi al seguente server SMTP, tramite la porta TCP 25:
5. Tenta di contattare google.com e il seguente indirizzo IP:
217.5.97.137
6. Tenta di accedere ai seguenti siti Web e scaricare un file che contiene un elenco di indirizzi e-mail:
* [http://]www.titanmotors.com/images/1/ema[REMOVED]
* [http://]veranmaisala.com/1/ema[REMOVED]
* [http://]wklight.nazwa.pl/1/ema[REMOVED]
* [http://]yongsan24.co.kr/1/ema[REMOVED]
* [http://]accesible.cl/1/ema[REMOVED]
* [http://]hotelesalba.com/1/ema[REMOVED]
* [http://]amdlady.com/1/ema[REMOVED]
* [http://]inca.dnetsolution.net/1/ema[REMOVED]
* [http://]www.auraura.com/1/ema[REMOVED]
* [http://]avataresgratis.com/1/ema[REMOVED]
* [http://]beyoglu.com.tr/1/ema[REMOVED]
* [http://]brandshock.com/1/ema[REMOVED]
* [http://]www.buydigital.co.kr/1/ema[REMOVED]
* [http://]camaramafra.sc.gov.br/1/ema[REMOVED]
* [http://]camposequipamentos.com.br/1/ema[REMOVED]
* [http://]cbradio.sos.pl/1/ema[REMOVED]
* [http://]c-d-c.com.au/1/ema[REMOVED]
* [http://]www.klanpl.com/1/ema[REMOVED]
* [http://]coparefrescos.stantonstreetgroup.com/1/ema[REMOVED]
* [http://]creainspire.com/1/ema[REMOVED]
* [http://]desenjoi.com.br/1/ema[REMOVED]
* [http://]www.inprofile.gr/1/ema[REMOVED]
* [http://]www.diem.cl/1/ema[REMOVED]
* [http://]www.discotecapuzzle.com/1/ema[REMOVED]
7. Tenta di inviare via e-mail una copia di un'altra infezione, Trojan.Tooso.R agli indirizzi di e-mail contenuti nel file scaricato.
Le caratteristiche del messaggio e-mail sono le seguenti:
Da: [INDIRIZZO FALSIFICATO]
Oggetto: [NOME DI PERSONA CASUALE]
Messaggio: [NOME DI PERSONA CASUALE]
Dove [NOME CASUALE DI PERSONA] è uno dei seguenti:
* Ales
* Alice
* Alyce
* Andrew
* Androw
* Androwe
* Ann
* Anna
* Anne
* Annes
* Anthonie
* Anthony
* Anthonye
* Avice
* Avis
* Bennet
* Bennett
* Christean
* Christian
* Constance
* Cybil
* Daniel
* Danyell
* Dorithie
* Dorothee
* Dorothy
* Edmond
* Edmonde
* Edmund
* Edward
* Edwarde
* Elizabeth
* Elizabethe
* Ellen
* Ellyn
* Emanual
* Emanuel
* Emanuell
* Ester
* Frances
* Francis
* Fraunces
* Gabriell
* Geoffraie
* George
* Grace
* Harry
* Harrye
* Henrie
* Henry
* Henrye
* Hughe
* Humphrey
* Humphrie
* Isabel
* Isabell
* James
* Jane
* Jeames
* Jeffrey
* Jeffrye
* Joane
* Johen
* John
* Josias
* Judeth
* Judith
* Judithe
* Katherine
* Katheryne
* Leonard
* Leonarde
* Margaret
* Margarett
* Margerie
* Margerye
* Margret
* Margrett
* Marie
* Martha
* Mary
* Marye
* Michael
* Mychaell
* Nathaniel
* Nathaniell
* Nathanyell
* Nicholas
* Nicholaus
* Nycholas
* Peter
* Ralph
* Rebecka
* Richard
* Richarde
* Robert
* Roberte
* Roger
* Rose
* Rycharde
* Samuell
* Sara
* Sidney
* Sindony
* Stephen
* Susan
* Susanna
* Suzanna
* Sybell
* Sybyll
* Syndony
* Thomas
* Valentyne
* William
* Winifred
* Wynefrede
* Wynefreed
* Wynnefreede
Allegato: [NOME DI PERSONA CASUALE].zip
Nota: L'allegato contiene un file eseguibile chiamato 16-06-2006.exe, che è una copia di Trojan.Tooso.R.
8. Non si invia agli indirizzi di e-mail che contengono le stringhe seguenti:
* rating@
* f-secur
* news
* update
* anyone@
* bugs@
* contract@
* feste
* gold-certs@
* help@
* info@
* nobody@
* noone@
* kasp
* admin
* icrosoft
* support
* ntivi
* unix
* bsd
* linux
* listserv
* certific
* sopho
* @foo
* @iana
* free-av
* @messagelab
* winzip
* winrar
* samples
* abuse
* panda
* cafee
* spam
* pgp
* @avp
* noreply
* local
* root@
* postmaster@
9. Tenta di raccogliere indirizzi di e-mail dal computer infetto cercando le seguenti estensioni di file:
* .wab
* .txt
* .msg
* .htm
* .shtm
* .stm
* .xml
* .dbx
* .mbx
* .mdx
* .eml
* .nch
* .mmf
* .ods
* .cfg
* .asp
* .php
* .pl
* .wsh
* .adb
* .tbb
* .sht
* .xls
* .oft
* .uin
* .cgi
* .mht
* .dhtm
* .jsp
10. Prova a contattare il seguente server remoto sulla porta 80 utilizzando una richiesta POST:
[http://]rodolfomejia.com/img/out1[REMOVED]
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Admin- Admin
- Messaggi : 156
Data di iscrizione : 01.12.09 -
Pagina 1 di 1
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.