Descoberta: March 26, 2004
Atualizado: February 13, 2007 12:21:46 PM
Também conhecido como: Bagle.U [F-Secure], WORM_BAGLE.U [Trend], W32/Bagle-U [Sophos], W32/Bagle.u@MM [McAfee]
Tipo: Worm
Extensão da infecção: 8,208 bytes
Sistemas afetados: Windows


O W32.Beagle.U@mm é uma variante do W32.Beagle.T@mm. O worm envia cópias de si mesmo através de um e-mail onde a linha de assunto e o corpo da mensagem estão em branco e o nome do anexo é aleatório. Este worm também ativa um backdoor na porta TCP 4751. O nome do anexo é uma sequência aleatória de letras com a extensão .exe.


Notas:
  • As definições de vírus anteriores à 26 de março de 2004 detectarão esta ameaça como W32.Beagle.gen (este documento encontra-se em inglês).
  • O Symantec Security Response desenvolveu uma ferramenta para remover infecções do W32.Beagle.U@mm.



Datas da proteção antivírus

  • Versão inicial do Rapid Release March 26, 2004
  • Última versão do Rapid Release August 08, 2016 revisão 023
  • Versão inicial diária certificada March 26, 2004
  • Última versão diária certificada August 09, 2016 revisão 001
  • Data da versão inicial semanal certificada March 26, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Escrito por: Benjamin Nahorney

Descoberta: March 26, 2004
Atualizado: February 13, 2007 12:21:46 PM
Também conhecido como: Bagle.U [F-Secure], WORM_BAGLE.U [Trend], W32/Bagle-U [Sophos], W32/Bagle.u@MM [McAfee]
Tipo: Worm
Extensão da infecção: 8,208 bytes
Sistemas afetados: Windows


Quando o W32.Beagle.U@mm é executado, ele faz o seguinte:

  1. Se o ano da data do sistema for 2005 ou posterior, o worm será finalizado.

  2. Cria uma cópia de si mesmo como %System%\gigabit.exe.

    Nota: %System% é uma variável. O worm localiza a pasta do sistema e faz uma cópia de si mesmo para esse local. Por padrão, ela é C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ou C:\Windows\System32 (Windows XP).

  3. Adicona o valor:

    "gigabit.exe"="%System%\gigabit.exe"

    a chave de registro:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    de forma que o worm seja ativado na inicialização do Windows.

  4. Cria a chave:

    HKEY_CURRENT_USER\SOFTWARE\Windows2004.

  5. Ativa um backdoor na porta TCP 4751 que permite o download e a execução de arquivos.

  6. Tenta executar o jogo Copas, da Microsoft , ativando o arquivo mshearts.exe, se este arquivo estiver presente no computador infectado.

  7. Tenta notificar um servidor Web pré-determinado sobre a infecção.


    Nota: Se o ano do sistema for 2005 ou posterior, esta função não ocorrerá.

  8. Pesquisa o disco rígido local em busca de endereços de e-mail que possuam as seguintes extensões:
    • .wab
    • .txt
    • .msg
    • .htm
    • .shtm
    • .stm
    • .xml
    • .dbx
    • .mbx
    • .mdx
    • .eml
    • .nch
    • .mmf
    • .ods
    • .cfg
    • .asp
    • .php
    • .pl
    • .wsh
    • .adb
    • .tbb
    • .sht
    • .xls
    • .oft
    • .uin
    • .cgi
    • .mht
    • .dhtm
    • .jsp

  9. Envia mensagens de e-mail aos endereços encontrados. A linha de assunto e o corpo da mensagem estão em branco, e o anexo é uma cópia do worm com um nome aleatório. O nome consiste em uma sequência aleatória de caracteres com a extensão .exe (por exemplo, jwopbh.exe).

  10. Evita enviar mensagens de e-mail aos endereços que contenham as sequências:
    • @avp
    • @microsoft


Symantec Gateway Security 5400 Series e Symantec Gateway Security v1.0
  • Componente antivírus: está disponível uma atualização para o mecanismo Symantec Gateway Security AntiVirus para proteger contra esta ameaça. Recomendamos que os usuários do Symantec Gateway Security executem o LiveUpdate.
  • Conponente IDS/IPS: Não está prevista uma atualização para o mecanismo do Symantec Gateway Security IDS/IPS.
  • Por padrão, a tecnologia de firewall de inspeção da Symantec evita que um invasor acesse a porta TCP 4751 dos computadores infectados. Recomendamos veementemente que os administradores que verifiquem se suas políticas de segurança não foram modificadas para permitir entrada de dados através da porta TCP 4751.
  • Adicionalmente, o módulo SMTPd no gateway de segurança irá impedir que os computadores infectados de enviarem mensagens de e-mail diretamente para a Internet, prevenindo futuras propagações.

Symantec Enterprise Firewall 7.0.x e Symantec VelociRaptor 1.5
  • Por padrão, a tecnologia de firewall de inspeção da Symantec evita que um invasor acesse a porta TCP 4751 dos computadores infectados. Recomendamos veementemente que os administradores que verifiquem se suas políticas de segurança não foram modificadas para permitir entrada de dados através da porta TCP 4751.
  • Adicionalmente, o módulo SMTPd no gateway de segurança irá impedir que os computadores infectados de enviarem mensagens de e-mail diretamente para a Internet, prevenindo futuras propagações.

Symantec Firewall/VPN 100/200 Appliances
  • Por padrão, a tecnologia de firewall de inspeção da Symantec evita que um invasor acesse a porta TCP 4751 dos computadores infectados. Recomendamos veementemente que os administradores que verifiquem se suas políticas de segurança não foram modificadas para permitir entrada de dados através da porta TCP 4751.

Symantec Clientless VPN Gateway
  • Esta ameaça não afeta o Symantec Clientless VPN Gateway v5.0. Para reduzir o risco de futura propagação, inclua uma regra que permita somente que usuários remotos autenticados acessem seu seu servidor interno de e-mail.

Symantec Client VPN v8.0 e Symantec VPN Client v7.x
  • Por padrão, o mecanismo de firewall pessoal (controle de portas) impede que um invasor remoto acesse a porta TCP 4751 dos computadores infectados. Recomendamos veementemente aos administradores que verifiquem se as configurações do controle de portas (Port Control) não foram alteradas para o modo "Wide Open" ou modificadas para permitir entrada de dados através da porta TCP 4751.

Recomendações

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Escrito por: Benjamin Nahorney

Descoberta: March 26, 2004
Atualizado: February 13, 2007 12:21:46 PM
Também conhecido como: Bagle.U [F-Secure], WORM_BAGLE.U [Trend], W32/Bagle-U [Sophos], W32/Bagle.u@MM [McAfee]
Tipo: Worm
Extensão da infecção: 8,208 bytes
Sistemas afetados: Windows


Remoção usando a Ferramenta de Remoção do W32.Beagle.U@mm
O Symantec Security Response criou uma ferramenta para remover o W32.Beagle.U@mm. Esta é a maneira mais fácil de se remover esta ameaça.

Remoção Manual
Estas instruções se aplicam a todos os produtos antivírus atuais e aos mais recentes da Symantec, inclusive as linhas de produto Symantec Antivírus e Norton AntiVirus.

  1. Desative a Restauração do sistema (Windows Me/XP).
  2. Atualize as definições de vírus.
  3. Execute uma verificação de sistema completa para reparar ou excluir todos os arquivos detectados como W32.Beagle.U@mm.
  4. Exclua o valor adicionado ao registro pelo worm.
Para maiores detalhes sobre como fazer isto, consulte as seguintes instruções.

1. Para desativar a Restauração do sistema (Windows Me/XP)
Usuários do Windows Me e do Windows XP devem desativar, temporariamente, o recurso de Restauração do sistema. Este recurso, ativado por padrão, é usado pelo Windows ME/XP para restaurar os arquivos do sistema em seu computador, caso estes tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de tróia é possível que arquivos infectados sejam recuperados pela Restauração do sistema.

Por padrão, o Windows previne que a Restauração do sistema seja alterada por programas externos, inclusive programas antivírus. Assim, é possível que você, acidentalmente, recupere um arquivo infectado ou que verificadores on-line detectem uma ameaça naquele lugar. Para instruções sobre como desativar a Restauração do sistema, consulte a documentação do Windows ou um dos seguintes artigos:

Nota: Após ter removido completamente a ameaça, você deve ativar novamente a Restauração do sistema seguindo as instruções dos documentos mencionados acima.


Para informações adicionais e como alternativa a desativar a Restauração do sistema, consulte o artigo Q263455, em inglês, da base de dados da Microsoft (Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder ).


2. Para atualizar as definições de vírus

O Symantec Security Response efetua completos testes em todas as definições de vírus para garantir sua qualidade antes das mesmas serem postadas em nossos servidores. Existem duas formas de se obter as mais recentes definições de vírus:
  • Executando o LiveUpdate: esta é a maneira mais fácil de se obter as definições de vírus. Estas definições são postadas nos servidores do LiveUpdate semanalmente (normalmente às Quartas-feiras), a não ser que haja uma significativa propagação de vírus. Para determinar se definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste documento.
  • Fazer o donwload das definições de vírus usando o Intelligent Updater. As definições de vírus do Intelligent Updater são postados nos Estados Unidos nos dias úteis (Segunda a Sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste alerta.

Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do site do website do Symantec Security Response clique aqui .


3. Para executar uma verificação completa no sistema
  1. Inicie seu programa de antivírus da Symantec, e configure-o para verificar todos os arquivos.
  2. Execute uma verificação completa do sistema.
  3. Se houver arquivos detectados como infectados com W32.Beagle.U@mm, clique em Excluir.


4. Para remover o valor do registro



AVISO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves que são especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.
  1. Clique em Iniciar e em Executar (A caixa de diálogo Executar será exibida).
  2. Digite regedit

    e clique em OK. (O Editor do Registro será aberto).

  3. Navegue até a chave:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. No painel direito, exclua os seguintes valores:

    "gigabit.exe"="%System%\gigabit.exe"

  5. Navegue até a chave:

    HKEY_CURRENT_USER\SOFTWARE

  6. No painel direito, exclua a sub-chave

    Windows2004

  7. Saia do Editor do Registro.


Escrito por: Benjamin Nahorney