W32/Bugbear@MM

Adatlap

Megjelenés dátuma: 2002. 09. 30.

Eredete: Malajzia

Hossza: 50,688 (UPX tömörített), vagy 50,664 bájt

Típusa: Vírus

Altípusa: E-mail programféreg

Szükséges adatbázis: 4226

Szükséges keresőmotor: 4.0.70

DAT kibocsátás dátuma: 2002. 09. 30.

Tulajdonságok

A vírus Microsoft Visual C-ben íródott, UPX-szel tömörített formátum. Hálózati megosztásokon és elektronikus levelezéssel is terjed. Tartalmaz egy backdoor trójai komponenst, amely a billentyű-leütéseket naplózza.

Tömeges levelezés

A programféreg a számítógépen található címekre küldi magát tovább. A víruskód tartalmaz email-tárgy és csatolmánynév-töredékeket. Ennek ellenére a beérkezett minták nagyrésze a vírusban nem szereplő informácvióval érkezett. Valószínűbb, hogy a vírus a fertőzött rendszereken található információkból dolgozik. Lehetséges e-mail tárgyak a következő szavakból tevődhetnek össze (bár más is előfordulhat):

• 25 merchants and rising
• Announcement
• bad news
• CALL FOR INFORMATION!
• click on this!
• Correction of errors
• Cows
• Daily Email Reminder
• empty account
• fantastic
• free shipping!
• Get 8 FREE issues - no risk!
• Get a FREE gift!
• Greets!
• Hello!
• Hi!
• history screen
•  
• hmm..
• I need help about script!!!
• Interesting...
• Introduction
• its easy
• Just a reminder
• Lost & Found
• Market Update Report
• Membership Confirmation
• My eBay ads
• New bonus in your cash account
• New Contests
• new reading
• News
• Payment notices
• Please Help...
• Re: $150 FREE Bonus!
• Report
• SCAM alert!!!
• Sponsors needed
• Stats
• Today Only
• Tools For Your Online Business
• update
• various
• Warning!
• wow!
• Your Gift
• Your News Alert

Az üzenettörzs változhat, és a fertőzött gépen található fájlok töredékeit tartalmazza. A melléklet neve szintén változó, de előfordulhatnak az alábbi töredékek:

• Card
• Docs
•  
• image
• images
• music
• news
• photo
• pics
• readme
• resume
• Setup
• song
• video

A melléklet áltaálban dupla kiterjesztéssel érkezik (pl.: .doc.pif). A kimenő üzenetek kihasználják az "Incorrect MIME-Header... (MS01-020)" biztonsági hiányosságot. A hiba a Microsoft Internet Explorer (v 5.01 és 5.5 SP2 nélkül) sajátossága. Az Internet átjárón futtatott vírusellenőrzők a vírust, mint Exploit-MIME.gen. vagy Exploit-MIME.gen.exe detektálhatják.

Rendszer-változtatások

A vírus lefuttatásakor bemásolja önamgát a %WinDir%\System könyvtárba, mint ****.EXE (ahol * tetszőleges karakter). Például:

• Win 98 : C:\WINDOWS\SYSTEM\FYFA.EXE
• 2000 Pro : C:\WINNT\SYSTEM32\FVFA.EXE

A következő registry kulcs készül a rendszerindításkori betöltődéshez:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
  RunOnce "%random letters%" = %random filename%.EXE (Win9x)

A programféreg bemásolja magát a Startup folderbe, mint ***.EXE (ahol * tetszőleges karakter). Például:

• Win 98 : C:\WINDOWS\Start Menu\Programs\Startup\CUK.EXE
• 2000 Pro : C:\Documents and Settings\(username)\Start Menu\Programs\Startup\CYC.EXE

Trójai komponens

A programféreg kinyitja a 36794-es portot a fertőzött számítógépen, és a futó folyamatok közül többet megállít, ha azok benne vannak a vírusba épített listában. A lista több népszerű antivírus és személyi tűzfal folyamatot tartalmaz. Ez a távoli elérés lehetővé teszi a támadónak, hogy fel-illetve letöltsön fájlokat a számítógépről, folyamatokat állítson le és programokat futtasson.

Egy DLL-t helyez el a számítógépen. Ezt a DLL-t PWS-Hooker.dll-ként észlelik a víruskeresők.

Hálózati megosztásokon keresztül terjedés: a féreg megpróbálja saját magát a hálózaton található többi számítógép Startup könyvtárába másolni. (mint ***.EXE - lásd feljebb).

Tünetek

• Nyitott 36974-es port
• A következő fájlok jelenléte (* tesztőleges karakter helyett áll):
• • %WinDir%\System\****.EXE (50,688 vagy 50,684 bájt)
  • %WinDir%\******.DAT
  • %WinDir%\******.DAT
  • %WinDir%\System\******.DLL
  • %WinDir%\System\*******.DLL
  • %WinDir%\System\*******.DLL

A fertőzés menete

A vírus hálózati megosztásokon keresztül, valamint saját levelezőkliense segítségével tömeges levelezéssel terjed.

A következő biztonsági programokhoz tartozó folyamatokat próbálja meg leállítani:

• ACKWIN32.exe
• F-AGNT95.exe
• ANTI-TROJAN.exe
• APVXDWIN.exe
• AUTODOWN.exe
• AVCONSOL.exe
• AVE32.exe
• AVGCTRL.exe
• AVKSERV.exe
• AVNT.exe
• AVP32.exe
• AVP32.exe
• AVPCC.exe
• AVPCC.exe
• AVPDOS32.exe
• AVPM.exe
• AVPM.exe
• AVPTC32.exe
• AVPUPD.exe
• AVSCHED32.exe
• AVWIN95.exe
• AVWUPD32.exe
• BLACKD.exe
• BLACKICE.exe
• CFIADMIN.exe
• CFIAUDIT.exe
• CFINET.exe
• CFINET32.exe
• CLAW95.exe
• CLAW95CF.exe
• CLEANER.exe
• CLEANER3.exe
• DVP95_0.exe
• ECENGINE.exe
• ESAFE.exe
• ESPWATCH.exe
• FINDVIRU.exe
• FPROT.exe
• IAMAPP.exe
• IAMSERV.exe
• IBMASN.exe
• IBMAVSP.exe
• ICLOAD95.exe
• ICLOADNT.exe
• ICMON.exe
• ICSUPP95.exe
• ICSUPPNT.exe
• IFACE.exe
• IOMON98.exe
• JEDI.exe
• LOCKDOWN2000.exe
• LOOKOUT.exe
• LUALL.exe
• MOOLIVE.exe
• MPFTRAY.exe
• N32SCANW.exe
• NAVAPW32.exe
• NAVLU32.exe
• NAVNT.exe
• NAVW32.exe
• NAVWNT.exe
• NISUM.exe
• NMAIN.exe
• NORMIST.exe
• NUPGRADE.exe
• NVC95.exe
• OUTPOST.exe
• PADMIN.exe
• PAVCL.exe
• PAVSCHED.exe
• PAVW.exe
• PCCWIN98.exe
• PCFWALLICON.exe
• PERSFW.exe
• F-PROT.exe
• F-PROT95.exe
• RAV7.exe
• RAV7WIN.exe
• RESCUE.exe
• SAFEWEB.exe
• SCAN32.exe
• SCAN95.exe
• SCANPM.exe
• SCRSCAN.exe
• SERV95.exe
• SPHINX.exe
• F-STOPW.exe
• SWEEP95.exe
• TBSCAN.exe
• TDS2-98.exe
• TDS2-NT.exe
• VET95.exe
• VETTRAY.exe
• VSCAN40.exe
• VSECOMR.exe
• VSHWIN32.exe
• VSSTAT.exe
• WEBSCANX.exe
• WFINDV32.exe
• ZONEALARM.exe

Egyéb elnevezések

W32.Bugbear@mm (Symantec)

W32/Bugbear-A (Sophos)

W32/Bugbear.A@mm (F-Secure)

W32/Bugbear.worm

Win32Bugbear (CA)

WORM_NATOSTA.A (Trend)