Java.BeanHive

Szkodnik wyposa偶ony jest w wieloelementowy mechanizm infekuj膮cy, pozwalaj膮cy mu na ukrywanie w艂asnego kodu w zara偶onych plikach - ich rozmiar zwi臋ksza si臋 minimalnie, a kod wirusa na pierwszy rzut oka wygl膮daj膮 ca艂kowicie niegro藕ne. Dodatkowo autor szkodnika mo偶e w bardzo 艂atwy spos贸b uaktualni膰 jego kod.

Wirus mo偶e si臋 rozprzestrzenia膰 wy艂膮cznie w 艣ci艣le okre艣lonych okoliczno艣ciach. Nie mo偶e zara偶a膰 plik贸w po uruchomieniu jako aplet Javy, poniewa偶 nie zezwalaj膮 na to wszystkie popularne przegl膮darki internetowe.

Szkodnik mo偶e infekowa膰 pliki wy艂膮cznie po uruchomieniu jako aplikacja Javy przy u偶yciu wirtualnej maszyny Javy.

Szczeg贸艂y techniczne

Kod 艂aduj膮cy wirusa ma posta膰 programu Javy o d艂ugo艣ci oko艂o 40 linii. Po uruchomieniu 艂膮czy si臋 z serwerem WWW, pobiera g艂贸wny kod szkodnika, zapisuje go z nazw膮 BeanHive.class i uruchamia.

G艂贸wny kod wirusa podzielony jest na sze艣膰 element贸w przechowywanych w oddzielnych plikach. S膮 one pobierane z serwera WWW w razie potrzeby:

BeanHive.class             : wyszukiwarka plik贸w
+--- e89a763c.class       : parser formatu plik贸w
|--- a98b34f2.class : funkcje dost臋pu do plik贸w
|--- be93a29f.class : funkcje przygotowuj膮ce plik do infekcji (etap 1)
|--- c8f67b45.class : funkcje przygotowuj膮ce plik do infekcji (etap 1)
+--- dc98e742.class : funkcje umieszczaj膮ce w infekowanym pliku program 艂aduj膮cy wirusa