Data di scoperta: venerdì 29 ottobre 2004
Tipo: Worm
Rischio: Basso
Trasmissione del virus: E-Mail
Piattaforma colpita: Windows
Danni: Consumo di banda per l'autoinvio, Apertura di una backdoor, Infezione di cartelle di software P2P, Chiusura programmi di sicurezza
Rimozione: Tool di rimozione Symantec

Funzionamento
Si autoinvia a indirizzi e-mail reperiti sul computer falsificando l'indirizzo del mittente, apre una backdoor sulla porta 81 del computer infetto, cerca di chiudere i programmi di sicurezza presenti sul computer, compresi firewall e programmi antivirus, e cerca di infettare le cartelle dei programmi Peer to Peer per propagarsi anche attraverso questo canale. Inoltre si ha una diminuzione delle prestazioni del computer, l'aumento dell'attività di rete e l'impossibilità di accedere al proprio antivirus.

Azioni
Il worm, dopo l'attivazione, compie le seguenti operazioni:

Cancella riferimenti nel registro a worm o virus precedenti e a programmi di sicurezza
Copia se stesso nella directory di sistema di Windows con il nome wingo.exe
Apre una backdoor sulla porta 81 in attesa di informazioni
Tenta di collegarsi a degli script dinamici presi da una lista di decine di siti Web
Tenta di terminare programmi antivirus e firewall per evitare di essere rilevato
Copia se stesso nelle cartelle di Windows apparteneti a software Peer To Peer (discriminate dal nome "shar")
Cerca di terminare i processi della Condivisione di connessione e del Security Center di Windows XP
Scansiona i file dell'Hard Disk alla ricerca di indirizzi e-mail per l'autoinvio
Si autoinvia falsificando l'indirizzo mittente agli indirizzi trovati nei file scansionati attraverso un proprio server SMTP
Attraverso la chiave HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run il file wingo.exe viene attivato ad ogni avvio di Windows.

Rimozione Beagle.AV
Scarica tool di rimozione Symantec