Sono ben quattro le versioni di Beagle (detto anche Bagle) che si stanno velocemente diffondendo su Internet. Questo worm attacca i sistemi Windows dalla versione 95 in poi sebbene alcuni dettagli cambino a seconda della versione aggredita.
Le nuove varianti (C, E, F e G) hanno in comune l'apertura della porta 2745 nei sistemi infettati, porta che puo' essere usata dagli autori dei worm per accedere ai computer colpiti, per farli partecipare ad attacchi DoS (Denial of Service), per scaricare programmi o per ricevere semplicemente informazioni sul computer infetto.
Attualmente sono riconosciute come varianti piu' pericolose dai vari centri di ricerca la C e la E, un minor numero di infezioni viene invece attribuito alle varianti F e G. Ulteriori varianti, coma la versione D, non destano al momento preoccupazione.
Tutte le versioni utilizzano un proprio sistema SMTP per l'invio di email dai computer infetti, email che contengono il worm e che vengono spedite a tutti gli indirizzi trovati da Beagle sui PC colpiti. Le versioni C, E e F hanno anche la capacita' di bloccare alcuni dei piu' diffusi software per la sicurezza dei computer.
COME RICONOSCERLO
Beagle arriva via email utilizzando come mittente un indirizzo a caso tra quelli recuperati nel sistema infettato. Il soggetto del messaggio e' composto da una frase scelta a caso tra alcune decine di soggetti predeterminati memorizzati all'interno del worm stesso, comunque sempre in inglese.
A seconda della versione del worm il corpo del messaggio puo' essere vuoto o riportare frasi in inglese lunghe fino a tre quattro righe.
L'allegato al messaggio e' diverso per alcune varianti:
- Beagle.C: arriva con un file .zip il cui nome e' composto da caratteri casuali e al cui interno si trova un file .exe. L'icona utilizzata per il file .exe e' quella di un foglio di lavoro di Microsoft Excel. La dimensione dell'allegato e' tra 17 e 18 KB.
- Beagle.E: si presentacome la versione C con la sola differenza che l'icona utilizzata per il file .exe e' quella di un documento di testo. La dimensione dell'allegato e' tra 21 e 23 KB.
- Beagle.F e Beagle.G: il nome dell'allegato e' in inglese ed e' scelto casualmente da un elenco che il worm porta con se'. Il file infetto puo' avere tre diverse estensioni (exe, zip, scr) e l'icona utilizzata e' quella di una cartella di Windows.
COSA FA
La versione C di Beagle si installa solo se la data del computer e' precedente al 14 marzo, altrimenti termina la sua esecuzione.
Le versioni E, F e G controllano la data del sistema prima di installarsi nel computer. Se questa e' successiva al 25 marzo il worm si disinstalla automaticamente e termina la sua esecuzione.
Una volta effettuato il controllo della data, Beagle copia se stesso in varie cartelle del computer e scrive alcune linee nel registro di Windows per assicurarsi di essere avviato ogni volta che il computer sara' fatto ripartire.
ULTERIORI INFORMAZIONI
Symantec ha reso disponibile un tool per la rimozione delle varianti A, B, C ed E. Il tool e' disponibile al seguente indirizzo: http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle@mm.removal.tool.html
Per ulteriori dettagli su Beagle sono disponibili le pagine Web dedicate dai maggiori produttori di software antivirus:
Sophos: http://www.sophos.com/
McAfee: http://it.mcafee.com/
SSR: http://securityresponse.symantec.com/
Fonte: Salva Pc News
Le nuove varianti (C, E, F e G) hanno in comune l'apertura della porta 2745 nei sistemi infettati, porta che puo' essere usata dagli autori dei worm per accedere ai computer colpiti, per farli partecipare ad attacchi DoS (Denial of Service), per scaricare programmi o per ricevere semplicemente informazioni sul computer infetto.
Attualmente sono riconosciute come varianti piu' pericolose dai vari centri di ricerca la C e la E, un minor numero di infezioni viene invece attribuito alle varianti F e G. Ulteriori varianti, coma la versione D, non destano al momento preoccupazione.
Tutte le versioni utilizzano un proprio sistema SMTP per l'invio di email dai computer infetti, email che contengono il worm e che vengono spedite a tutti gli indirizzi trovati da Beagle sui PC colpiti. Le versioni C, E e F hanno anche la capacita' di bloccare alcuni dei piu' diffusi software per la sicurezza dei computer.
COME RICONOSCERLO
Beagle arriva via email utilizzando come mittente un indirizzo a caso tra quelli recuperati nel sistema infettato. Il soggetto del messaggio e' composto da una frase scelta a caso tra alcune decine di soggetti predeterminati memorizzati all'interno del worm stesso, comunque sempre in inglese.
A seconda della versione del worm il corpo del messaggio puo' essere vuoto o riportare frasi in inglese lunghe fino a tre quattro righe.
L'allegato al messaggio e' diverso per alcune varianti:
- Beagle.C: arriva con un file .zip il cui nome e' composto da caratteri casuali e al cui interno si trova un file .exe. L'icona utilizzata per il file .exe e' quella di un foglio di lavoro di Microsoft Excel. La dimensione dell'allegato e' tra 17 e 18 KB.
- Beagle.E: si presentacome la versione C con la sola differenza che l'icona utilizzata per il file .exe e' quella di un documento di testo. La dimensione dell'allegato e' tra 21 e 23 KB.
- Beagle.F e Beagle.G: il nome dell'allegato e' in inglese ed e' scelto casualmente da un elenco che il worm porta con se'. Il file infetto puo' avere tre diverse estensioni (exe, zip, scr) e l'icona utilizzata e' quella di una cartella di Windows.
COSA FA
La versione C di Beagle si installa solo se la data del computer e' precedente al 14 marzo, altrimenti termina la sua esecuzione.
Le versioni E, F e G controllano la data del sistema prima di installarsi nel computer. Se questa e' successiva al 25 marzo il worm si disinstalla automaticamente e termina la sua esecuzione.
Una volta effettuato il controllo della data, Beagle copia se stesso in varie cartelle del computer e scrive alcune linee nel registro di Windows per assicurarsi di essere avviato ogni volta che il computer sara' fatto ripartire.
ULTERIORI INFORMAZIONI
Symantec ha reso disponibile un tool per la rimozione delle varianti A, B, C ed E. Il tool e' disponibile al seguente indirizzo: http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle@mm.removal.tool.html
Per ulteriori dettagli su Beagle sono disponibili le pagine Web dedicate dai maggiori produttori di software antivirus:
Sophos: http://www.sophos.com/
McAfee: http://it.mcafee.com/
SSR: http://securityresponse.symantec.com/
Fonte: Salva Pc News