Nome: I-WORM.Beagle.B

Alias: 

Tipologia: Internet Worm Backdoor

Dimensione: 11264 byte 

Piattaforma: Win 95/98/ME/NT/2000/XP 

Descrizione:

Questo worm arriva attraverso la posta elettronica allegando un file .EXE con nome casuale.

Il messaggio infetto ha il seguente oggetto: ID xxx... thanks
dove xxx è una sequenza di caratteri casuali.
Con il seguente corpo di messaggio:

Yours ID xxx
--
Thank 

dove xxx è una sequenza di caratteri casuali.

Se eseguito il worm Beagle crea il seguente file AU.EXE nella cartella di WINDOWS e
modifica il file di registro per metterlo in esecuzione automatica, ed esegue il programma
sndrec32.exe per la registrazione dei suoni visualizzando un messaggio di errore.
Dopo qualche secondo di pausa, il worm Beagle attiva anche una componente BACKDOOR aprendo
la porta n. 8866 TCP e rimane in ascolto.
Inoltre il worm Beagle cerca di connettersi a seguenti siti:

http://www.47df.de/wbboard/1.php
http://www.strato.de/1.php
http://intern.games-ring.de/1.php
http://www.strato.de/2.php

Il worm Beagle recupera gli indirizzi e-mail nei seguenti file: .wab .txt .htm .html.
Dopo il 25 febbraio il worm Beagle non si diffonderà più.

18/02/2004 - Tutti i diritti riservati TG Soft S.a.s. - http://www.tgsoft.it

Analisi a cura: Ing. G. Tonello