Největší virovou hrozbou z rodiny Beagle (Bagle) jsou zatím verze C a E.
První zmíněný vir se začal šířit již v pátek v noci. Vir se rozesílá s falešnou adresou jako příloha zprávy s různými předměty:
Accounts departmentAhtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Pricelist
Price-list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he
Samotná příloha se pak skládá z osmiznakové kombinace písem a,b,c,d a vždy se jedná o zabalený spustitelný soubor, který k zmatení uživatele zobrazuje ikonku souboru tabulky pro program MS Excel. Bagle.C zanechává pro případný útok otevřený TCP port 2745 a pokouší se vypnout některé funkce bezpečnostních programů: ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE Šíření Beagle.C má automaticky skončit 14.3.2004.
Beagle.E má podobné vlastnosti jako varianta C. Objevil se v sobotu. V zavirované zprávě je falešný odesílatel a v předmětu zprávy se objevuje některý z textů zveřejněný u „céčka“. Zavirovaný soubor s příponou Zip má velikost 16 kB a jedná se také o zabalený spustitelný program. Rozdíl je však v podobě ikonky, která v tomto případě vypadá jako ikonka pro textový soubor (pro program Notepad).
Také tento vir zanechává otevřený port 2745 a oznámí to na některé e-mailové adresy. Také tato varianta se pokouší vypnou již zmíněné procesy, aby znemožnila plný chod antivirových programů, firewallů a dalších bezpečnostních programů. Konec šíření nastane 25. března 2004.
Nejčerstvější virová nadílka, která svým potenciálem s největší pravděpodobností předčí všechny nové Beagly, je označována jako Netsky.D, Moodown.D nebo Samefool. Tento vir deaktivuje viry Mydoom.A a Mydoom.B, pokud je jimi počítač již napaden. Na rozdíl od svých předchůdců nezobrazuje tento vir při spuštění falešné okno s chybovou hláškou. Druhého března mezi šestou a devátou hodinou tento vir využije počítačový PC Speaker (interní reproduktor) k vydávání zvuku. Vir se rozesílá s falešnou adresou odesílatele a využívá některý z následujících předmětů zprávy: Re: ApprovedRe: Details
Re: Document
Re: Document
Re: Excel file
Re: Hello
Re: Here
Re: Here is the document
Re: Hi
Re: Message
Re: My details
Re: Thanks!
Re: Word file
Re: Your archive
Re: Your bill
Re: Your details
Re: Your document
Re: Your document
Re: Your letter
Re: Your music
Re: Your picture
Re: Your product
Re: Your software
Re: Your text
Re: Your website Další identifikační znak je tělo zprávy, které může obsahovat některý z těchto textů: Here is the file.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details
Your file is attached.
Your document is attached.
Samotný soubor má koncovku PIF a jako zabalený má velikost 17 424 bytů. Jeho název je vybrán mezi těmito: all_document.pif
application.pif
document.pif
document_4351.pif
document_excel.pif
document_full.pif
document_word.pif
message_details.pif
message_part2.pif
mp3music.pif
my_details.pif
my_details.pif
your_archive.pif
your_bill.pif
your_details.pif
our_document.pif
your_document.pif
your_document.pif
your_file.pif
your_letter.pif
your_picture.pif
your_picture.pif
your_product.pif
your_text.pif
your_website.pif
yours.pif Stále platí základní virová prevence: raději si podezřelý e-mail ověřte u odesílatele, než jej zbrkle otevírat. Také udržujte svůj antivirový program maximálně aktualizovaný.
