1. /
  2. Security Response/
  3. W32.Beagle.J@mm
  4. W32.Beagle.J@mm
  • Ajouter

W32.Beagle.J@mm

Niveau de risque2 : Faible

Découvert :
2 Mars 2004
Mis à jour :
13 Février 2007 12:21:23 PM
Egalement appelé :
W32/Bagle.j@MM [McAfee], WORM_BAGLE.J [Trend], Win32.Bagle.J [Computer Associ, W32/Bagle-J [Sophos]
Type :
Worm
Etendue de l'infection :
12 288 octets
Systèmes affectés :
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

En raison de la diminution des virus soumis, Symantec Security Response a réévalué W32.Beagle.J@mm qui passe du Niveau 3 au Niveau 2 à compter du 30 mars 2004.

Le ver W32.Beagle.J@mm :
  • Est un ver d’envoi en masse de courrier qui ouvre une porte dérobée sur le port TCP 2745, et utilise son propre moteur SMTP pour se propager par courrier électronique.
  • Il envoie à l'attaquant le port sur lequel la porte dérobée écoute, ainsi que l'adresse IP.
  • Il tente de se propager à travers les réseaux de partage de fichiers, tels que Kazaa et iMesh, en se déposant dans les dossiers contenant le mot "shar" (partage).


Le courrier électronique présente les caractéristiques suivantes :

De : Adresse usurpée, afin de prétendre que le courrier vient de l'une des adresses suivantes du domaine du destinataire :
  • management
  • administration
  • staff
  • noreply
  • support
Pièce jointe : Un fichier .exe nommé de façon aléatoire, contenu dans un fichier .zip ou .pif. Il est possible que le fichier zip soit protégé par mot de passe, mais les produits antivirus Symantec détecteront ces fichiers.


Remarques :


Dates de la protection antivirus

  • Version initiale des définitions Rapid Release2 Mars 2004
  • Dernière version des définitions Rapid Release2 Mars 2004
  • Version initiale des définitions Daily Certified2 Mars 2004
  • Dernière version des définitions Daily Certified17 Janvier 2008 révision 033
  • Date de la version initiale des définitions Weekly Certified2 Mars 2004
Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

  • Niveau de virulence :Medium
  • Nombre d'infections :50 - 999
  • Nombre de sites :More than 10
  • Répartition géographique :Low
  • Contrôle de la menace :Easy
  • Suppression :Moderate

Dommages

  • Niveau de dommages :Medium
  • Elément déclencheur :ne s'applique pas
  • Résultat d'activation :ne s'applique pas
  • Envoi de courrier électronique en masse :Envoie un courrier électronique à tous les contacts trouvés dans les fichiers aux extensions .wab, .txt, .msg, .htm, .xml, .dbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .adb, .tbb, .sht, .uin, .cgi
  • Supprime des fichiers :ne s'applique pas
  • Modifie des fichiers :ne s'applique pas
  • Diffuse des informations confidentielles :Permet un accès distant non autorisé.
  • Dégrade les performances :ne s'applique pas
  • Cause l'instabilité du système :ne s'applique pas
  • Compromet les paramètres de sécurité :Termine les processus liés à certains programmes de sécurité.

Distribution

  • Niveau de distribution :High
  • Objet du courrier électronique :Variable
  • Nom de la pièce jointe :Fichier .exe nommé de façon aléatoire, dans un fichier .zip. Le fichier .exe contenu dans le fichier .zip est protégé par mot de passe (généré de façon aléatoire).
  • Taille de la pièce jointe :13 Ko
  • Ports :TCP 2745
  • Lecteurs partagés :ne s'applique pas
  • Cible d'infection :ne s'applique pas
  • Date de la pièce jointe :ne s'applique pas
Rédigé par :Yuhui Huang