発見日: January 18, 2004
更新日: July 05, 2010 11:09:54 AM
影響を受けるシステム: Windows

W32.Beagle.A@mm は、侵入先のシステム上の特定のファイルから収集した電子メールアドレスに自分自身を送信する、大量メール送信ワームです。また、このワームは、特定の Web サイトのスクリプトにアクセスしようと試みます。

発見日: January 18, 2004
更新日: July 05, 2010 11:09:54 AM
影響を受けるシステム: Windows

W32.Beagle.A@mm は、.wab、.txt、.htm、.html の拡張子を持つファイルから収集した電子メールアドレスに自分自身を送信する大量メール送信ワームです。次の文字列を含む電子メールアドレスには、自分自身を送信しません。
.r1
@hotmail.com
@msn.com
@microsoft.com
@avp

通常、このワームは次の特徴がある電子メールメッセージとして届きます。
件名: Hi

メッセージ:

Test =)
<ランダムな文字列>
--
Test, yep.

ファイル名: <ランダム>.exe

差出人のアドレスは、送信者のアドレスが受信者と同じドメインであるように偽装されます。

添付ファイルが実行されると、このワームは最初に現在のシステムの日付をチェックします。日付が 2004 年 1 月 28 日より後の場合は、何も実行しません。それ以前の場合は、次のファイルとして自分自身のコピーを作成します。
%system%\bbeagle.exe

続いてこのワームは、calc.exe を開始します。

このワームは、次のレジストリエントリを作成します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"d3update.exe" = "%system%\bbeagle.exe"
HKEY_CURRENT_USER\Software\Windows98\"uid" = "[ランダムな値]"
HKEY_CURRENT_USER\Software\Windows98\"frun" = "1"

このワームは、自分の本体にハードコードされた Web サイトのリストからスクリプトにアクセスしようと試みます。この文書の記述時点では、スクリプトファイル 1.php にはアクセスできませんでした。

このワームが接続しようと試みるサイトのリストを次に示します。
http:/ /www.elrasshop.de/1.php
http:/ /www.it-msc.de/1.php
http:/ /www.getyourfree.net/1.php
http:/ /www.dmdesign.de/1.php
http:/ /64.176.228.13/1.php
http:/ /www.leonzernitsky.com/1.php
http:/ /216.98.136.248/1.php
http:/ /216.98.134.247/1.php
http:/ /www.cdromca.com/1.php
http:/ /www.kunst-in-templin.de/1.php
http:/ /vipweb.ru/1.php
http:/ /antol-co.ru/1.php
http:/ /www.bags-dostavka.mags.ru/1.php
http:/ /www.5x12.ru/1.php
http:/ /bose-audio.net/1.php
http:/ /www.sttngdata.de/1.php
http:/ /wh9.tu-dresden.de/1.php
http:/ /www.micronuke.net/1.php
http:/ /www.stadthagen.org/1.php
http:/ /www.beasty-cars.de/1.php
http:/ /www.polohexe.de/1.php
http:/ /www.bino88.de/1.php
http:/ /www.grefrathpaenz.de/1.php
http:/ /www.bhamidy.de/1.php
http:/ /www.mystic-vws.de/1.php
http:/ /www.auto-hobby-essen.de/1.php
http:/ /www.polozicke.de/1.php
http:/ /www.twr-music.de/1.php
http:/ /www.sc-erbendorf.de/1.php
http:/ /www.montania.de/1.php
http:/ /www.medi-martin.de/1.php
http:/ /vvcgn.de/1.php
http:/ /www.ballonfoto.com/1.php
http:/ /www.marder-gmbh.de/1.php
http:/ /www.dvd-filme.com/1.php
http:/ /www.smeangol.com/1.php

** 更新: 1.php スクリプトは、侵入先のシステムに Trojan.Mitglieder (MCID 2445) をダウンロードして実行するように命令すると推測されています。

** 更新: このワームは TCP ポート 6777 にスレッドを作成し、リモートの攻撃者が次の操作を実行できるようにします。
- 侵入先のシステムでカレントユーザーとしてコマンドを実行する
- システムにファイルをダウンロードする
- このワームを終了してシステムから削除する

** 更新: Symantec DeepSight Threat Analyst Team は、TCP ポート 6777 のトラフィックの著しい増加を検出しました。これは、このワームの広範囲に及ぶ拡散に関係していると考えられています。