Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Java.BeanHive

Szkodnik wyposażony jest w wieloelementowy mechanizm infekujący, pozwalający mu na ukrywanie własnego kodu w zarażonych plikach - ich rozmiar zwiększa się minimalnie, a kod wirusa na pierwszy rzut oka wyglądają całkowicie niegroźne. Dodatkowo autor szkodnika może w bardzo łatwy sposób uaktualnić jego kod.

Wirus może się rozprzestrzeniać wyłącznie w ściśle określonych okolicznościach. Nie może zarażać plików po uruchomieniu jako aplet Javy, ponieważ nie zezwalają na to wszystkie popularne przeglądarki internetowe.

Szkodnik może infekować pliki wyłącznie po uruchomieniu jako aplikacja Javy przy użyciu wirtualnej maszyny Javy.

Szczegóły techniczne

Kod ładujący wirusa ma postać programu Javy o długości około 40 linii. Po uruchomieniu łączy się z serwerem WWW, pobiera główny kod szkodnika, zapisuje go z nazwą BeanHive.class i uruchamia.

Główny kod wirusa podzielony jest na sześć elementów przechowywanych w oddzielnych plikach. Są one pobierane z serwera WWW w razie potrzeby:

BeanHive.class             : wyszukiwarka plików
+--- e89a763c.class       : parser formatu plików
|--- a98b34f2.class : funkcje dostępu do plików
|--- be93a29f.class : funkcje przygotowujące plik do infekcji (etap 1)
|--- c8f67b45.class : funkcje przygotowujące plik do infekcji (etap 1)
+--- dc98e742.class : funkcje umieszczające w infekowanym pliku program ładujący wirusa