CodeCharge TAIWAN

from http://www.y2000.com.tw/hot/Worm@W32.Beagle.56.htm

Worm@W32.Beagle.56

Beagle.56 駭蟲再度變種，請用戶不要隨便執行附加檔案以避免感染

Beagle.56 駭蟲散播病毒的主要途徑是以傳送電子郵件為主，信件內容會使用一些誘人的字眼，例如:"Zip password:" "The password is:"等等，使用戶不經意就去執行附加檔，因而造成電腦中毒。感染此駭蟲後，除了試圖終止一些安全性的程序外，可能還會產生一隻名為 Trojan.Rootserv 的特洛依木馬程式，並且開啟電腦的後門程式，允許駭客入侵。

基本介紹
病毒名稱 Worm@W32.Beagle.56
病毒別名 W32.Beagle.FN@mm [Symantec]
病毒型態 Worm , E-Mail , Backdoor
病毒發現日期 2006/10/11
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度：高
破壞程度：中

Worm@W32.Beagle.56信件格式：

發信者： < 隨機 >

主旨： < 隨機 >

內文： < 下列任一個 >
The password is:

Zip password:

Use password

Password:
......

附加檔案： < 下列任一個 >
Andrew.zip
Edward.zip
Harrye.zip
John.zip
Nathaniel.zip
Roger.zip
I love you.zip
......

Worm@W32.Beagle.56 行為描述：

*

駭蟲執行後，可能會產生一隻名為Trojan.Rootserv 的特洛依木馬程式。
*

駭蟲會試圖下載一個病毒檔案，並另存至%System%\re_file.exe
*

試圖終止下列程序：

firewall

Personal Firewall

WinAntivirus

SAVScan

AlertManger

......

*

透過自己的SMTP大量發送病毒信件。
*

病毒執行後，在C:\Documents and Settings 或是C:\ 目錄產生

hidn2.exe
m_hook.sys
temp.zip
*

修改登錄檔，如此開機即會啟動駭蟲。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"drv_st_key" = "%UserProfile%\Application Data\hidn\hidn2.exe"