BogusBear, de propagación masiva con falso antivirus, borra registros, desestabiliza el sistema.  

© Jorge Machado  Lima-Perú

Win32/BogusBear@MM

BogusBear es un gusano reportado el 16 de Octubre del 2002, de propagación masiva debido a que simula contener una "protección" contra el gusano BugBear, dentro de un archivo anexado denominado protect.zip

Está desarrollado en Assembler y encriptado con rutinas propietarias. Es un PE (Portable Ejecutable) de 9.5 KB de extensión que infecta Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000.

Al desempaquetar protect.zip, se ejecuta el archivo ProTecT.exe, el cual mostrará esta caja de diálogo:

Si se hace click en el botón "OK" el gusano renombrará al archivo original regedit.exe como m_regedit.exe y su código viral se auto-copiará como un falso regedit.exe, cambiando su icono. 

Inmediatamente se auto-copiará a la carpeta %system% como PrTecTor.exe y agregará el siguiente valor a la llave de registro para ejecutarse la próxima vez que se inicie el sistema: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
XRF = c:\%system%\PrTecTor.exe

%system% es una variable que corresponde a las rutas C:\Windows\System en Windows 9x/ME y a C:\Winnt\System32 en Windows NT\2000\XP.

El virus leerá y capturará los buzones de correo de la Libreta de Direcciones de Windows WAB (Windows Address Book), colocándolas en el archivo m_WAB.xrf de C:\%system% creando el archivo m_prgrm.zip el cual será auto-enviado como anexado en el mensaje infectado.

Después de esta acción, el gusano verificará cada minuto el estado de la conexión a Internet y cuando el usuario se conecte, el virus empezará a auto-enviarse en el formato Base64 a todas las direcciones almacenadas en el archivo m_WAB.xrf, el mismo que será borrado después de haber terminado el envío.

La codificación Base64 es un complejo diseño de secuencias arbitrarias de octetos en un formato, que no puede ser leído normalmente. Para este propósito se emplea un sub-categoría de 65 caracteres [A-Za-z0-9+/=] de codificación ASCII (American Standard Code for Information Interchange), habilitando 6 bits para poder ser representados por caracteres imprimibles. 

Al ser el regedit.exe, un falso archivo infectado, cuando el usuario intente ejecutarlo, el gusano borrará determinadas llaves del registro, con lo cual desestabilizará el sistema u ocasionará su mal funcionamiento y será necesario reinstalar Windows.

PER ANTIVIRUS® versión 7.7 con registro de virus al 16 de Octubre del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS