|
|
|
|
|
Symantec.com > Empresas > Security Response > W32.Beagle.M@mm
IMPRIMIR ESTA PÁGINA

W32.Beagle.M@mm

Nível do risco2: Baixo

Descoberto:
13 de Março de 2004
Atualizado:
13 de Fevereiro de 2007 12:21:06 PM
Também conhecido como:
Win32.Bagle.N [Computer Associ, Bagle.N [F-Secure], W32/Bagle.n@MM [McAfee], W32/Bagle.N [Panda], W32/Bagle-N [Sophos], PE_BAGLE.N [Trend Micro], I-Worm.Bagle.n [Kaspersky]
Tipo:
Worm
Extensão da infecção:
variesapproximately 21kb-22kb
Sistemas afetados:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

O W32.Beagle.M@mm é um worm polimorfo de envio por e-mail em grande escala, que utiliza o seu próprio mecanismo de SMTP para se disseminar através de e-mails. Assim como as variantes anteriores do Beagle, esse worm:
  • abre um backdoor (“porta dos fundos”) que monitora a porta TCP 2556
  • tenta propagar-se através das redes de compartilhamento de arquivos fazendo uma copia de si mesmo para as pastas que contém “shar” em seus nomes
  • infecta arquivos com a extensão EXE.

A mensagem de e-mail apresenta as seguintes características:

De: Inventado para parecer como se ele viesse de um dos seguintes endereços no domínio do destinatário:
  • management
  • administration
  • staff
  • noreply
  • support

Assunto: Um dos seguintes:
  • Account notify
  • E-mail account disabling warning.
  • E-mail account security warning.
  • E-mail technical support message.
  • E-mail technical support warning.
  • E-mail warning
  • Email account utilization warning.
  • Email report
  • Encrypted document
  • Fax Message Received
  • Forum notify
  • Hidden message
  • Important notify
  • Important notify about your e-mail account.
  • Incoming message
  • Notify about using the e-mail account.
  • Notify about your e-mail account utilization.
  • Notify from e-mail technical support.
  • Protected message
  • RE: Protected message
  • RE: Text message
  • Re: Document
  • Re: Hello
  • Re: Hi
  • Re: Incoming Fax
  • Re: Incoming Message
  • Re: Msg reply
  • Re: Thank you!
  • Re: Thanks :)
  • Re: Yahoo!
  • Request response
  • Site changes

Anexo: Um arquivo .exe nomeado aleatoriamente, armazenado dentro de um arquivo .zip ou .rar, ou em um arquivo .pif. Os arquivos .zip e .rar podem estar protegidos por senha. O nome do arquivo, sem a extensão, é uma dos seguintes:
  • Attach
  • Details
  • Document
  • Encrypted
  • Gift
  • Info
  • Information
  • Message
  • MoreInfo
  • Readme
  • Text
  • TextDocument
  • details
  • first_part
  • pub_document
  • text_document

Notas:
    • Os produtos domésticos da Symantec que possuem o recurso Bloqueio de worms automaticamente detectam e impedem que esta ameaça se propague.
    • Não existe valor de hash MD5 estático para este worm.
    • Definições de vírus versão 60314i (versão completa 14/3/2004 rev 9) foram lançadas para fornecer reparo e detecção aprimorados dos arquivos .rar protegidos por senha.
    • O Symantec Security Response criou uma ferramenta de remoção para remover infecções do W32.Beagle.M@mm.

Datas da proteção antivírus

  • Versão inicial do Rapid Release13 de Março de 2004
  • Última versão do Rapid Release13 de Março de 2004
  • Versão inicial diária certificada13 de Março de 2004
  • Última versão diária certificada17 de Janeiro de 2008 revisão033
  • Data da versão inicial semanal certificada13 de Março de 2004
Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e do Rapid Release.

Avaliação da ameaça

Disseminação

  • Nível de disseminação:Medium
  • Número de infecções:More than 1000
  • Número de sites:More than 10
  • Distribuição geográfica:Medium
  • Contenção da ameaça:Easy
  • Remoção:Moderate

Dano

  • Nível do dano:Medium
  • Acionador de atividade:Não disponível
  • Atividade:Não disponível
  • Envio de e-mail em grande escala:Envia e-mails para todos os contatos encontrados em arquivos de extensões: .wab, .txt, .msg, .htm, .xml, .dbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .adb, .tbb, .sht, .uin, .cgi
  • Exclui arquivos:Não disponível
  • Modifica arquivos:Pesquisa as unidades fixas locais e tenta infectar arquivos de extensão EXE.
  • Divulga informações confidenciais:Não disponível
  • Reduz o desempenho:Não disponível
  • Causa a instabilidade do sistema:Não disponível
  • Compromete as configurações de segurança:Permite acesso remoto não autorizado. Finaliza processos relacionados com alguns programas de segurança.

Distribuição

  • Nível de distribuição:High
  • Assunto do e-mail:Variável
  • Nome do anexo:Variável com extensão .pif, .zip, ou .rar
  • Tamanho do anexo:Aproximadamente 22kb
  • Portas:Monitora a porta TCP 2556
  • Unidades compartilhadas:Não disponível
  • Alvo da infecção:Não disponível
  • Carimbo de hora do anexo:Não disponível
Escrito por:Heather Shannon
Detalhes técnicos
©1995 - 2012 Symantec Corporation
Mapa do site|
Avisos legais|
Política de privacidade|
Contato|
Sites globais