Bugbear.B

BUGBEAR.B infecta vía correo, visualizando el mensaje, es troyanos/backdoor, deshabilita antivirus, etc.

W32/Bugbear.B@MM, W32/Tanatos.B@MM, I.worm.Bugbear.B@mm

Bugbear.B es un gusano destructivo reportado el 05 de Junio del 2003, variante del gusano Bugbear, de alta propagación masiva a través de mensajes de correo e infecta con tan solo visualizar el mensaje, ya que no tiene Contenido. Se distribuye con archivos anexados de nombres aleatorios con doble extensión .scr, .pif, .exe.

A diferencia de su primera versión, deshabilita antivirus y firewalls, infecta archivos del sistema, además de difundirse vía el ICQ, Kazaa y unidades de Red LAN con recursos compartidos.

También tiene funciones de Troyano/Backdoor que permiten a un hacker, tomar un absoluto control de los sistemas infectados, en forma remota.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, tiene una extensión de 70.5 KB, está desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección:

http://upx.sourceforge.net

El gusano captura los buzones de correo de la Libreta de Direcciones de Windows (WAB) y se auto-envía a través de su propio SMTP (Simple Mail Transfer Protocol) o el del sistema infectado.

Puede infectar con tan sólo pre-visualizar el mensaje. Para ello aprovecha la vulnerabilidad MIME (Multipurpose Internet Mail Extensions) de algunas versiones de Microsoft Outlook, Outlook Express que permiten que el archivo anexado sea ejecutado automáticamente, sin necesidad de que el usuario receptor del mensaje lo active, al tener configurada la opción de Vista Previa.

El parche de seguridad para esta vulnerabilidad puede ser descargado del siguiente URL de Microsoft:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) que emplea como emergencia ya que por defecto usa el SMTP del sistema infectado.

El mensaje de correo enviado tiene las siguientes características:

Remitente, cualquier dirección de correo capturado del sistema infectado.

Asunto, elegido aleatoriamente de estas frases:

Greets!
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello

Anexado, elegido aleatoriamente de las siguiente lista:

readme
setup
Card
Docs
news
image
pics
resume
photo
video
music
song
data

Con las cualquiera de las siguientes extensiones:

Al ejecutar el archivo anexado, el gusano es activado e infecta los siguientes archivos:

%Archivos de programa%\winzip\winzip32.exe
%Archivos de programa%\kazaa\kazaa.exe
%Archivos de programa%\ICQ\Icq.exe
%Archivos de programa%\DAP\DAP.exe
%Archivos de programa%\Winamp\winamp.exe
%Archivos de programa%\AIM95\aim.exe
%Archivos de programa%\Lavasoft\Ad-aware 6\Ad-aware.exe
%Archivos de programa%\Trillian\Trillian.exe
%Archivos de programa%\Zone Labs\ZoneAlarm\ZoneAlarm.exe
%Archivos de programa%\StreamCast\Morpheus\Morpheus.exe
%Archivos de programa%\QuickTime\QuickTimePlayer.exe
%Archivos de programa%\QuickTime\QuickTimePlayer.exe
%Archivos de programa%\WS_FTP\WS_FTP95.exe
%Archivos de programa%\MSN Messenger\msnmsgr.exe
%Archivos de programa%\ACDSee32\ACDSee32.exe
%Archivos de programa%\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
%Archivos de programa%\CuteFTP\cutftp32.exe
%Archivos de programa%\Far\Far.exe
%Archivos de programa%\Real\RealPlayer\realplay.exe
%Archivos de programa%\Windows Media Player\mplayer2.exe
%Archivos de programa%\WinRAR\WinRAR.exe
%Archivos de programa%\adobe\acrobat 5.0\reader\acrord32.exe
%Archivos de programa%\Internet Explorer\iexplore.exe
%Windir%\winhelp.exe
%Windir%\notepad.exe
%Windir%\hh.exe
%Windir%\mplayer.exe
%Windir%\regedit.exe
%Windir%\scandskw.exe

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para poder activarse la próxima vez que se inicie el sistema, se auto-copia a la carpeta %Startup% con un archivo de extension .EXE compuesto de 4 letras elegidas al azar por el gusano. Por ejemplo:

xllp.exe

%Startup% es una variable que corresponde a C:\Windows\Menu Inicio\Inicio en Windows 95/98/Me/XP y a C:\Documents and Settings\carpeta_del_usuario\Menu Inicio\Inicio en Windows NT\2000\XP.

Luego deshabilitará los siguientes Antivirus, Firewalls o sistemas de Seguridad:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
CSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE

Finalmente abre el puerto 36794, a través del cual los sistemas infectados podrán ser controlados remotamente por el hacker poseedor del software Cliente.

Los payloads de este gusano/troyano/backdoor son los siguientes:

Se propaga a través de mensajes de correo con diversos Asuntos, archivos Anexados con doble extensión y sin Contenido visible.
Aprovecha la vulnerabilidad MIME de la opción de Vista previa e infecta con tan solo visualizar el mensaje.
Usa los buzones de correo de la Libreta Global de Windows WAB (Windows Address Book).
Termina los procesos de antivirus, firewalls y software de seguridad, dejando totalmente desprotegidos a los sistemas que infecta.
Puede propagarse además vía el ICQ y la red Kazaa.
Se propaga en unidades de red con recursos compartidos.
Infecta archivos del sistema y con las extensiones .EXE
Como Backdoor ejecuta diversas acciones nocivas vía control remoto.
Inicia, termina y lista procesos que son enviados al hacker.
Captura teclas digitadas que pueden contener Claves de Acceso.
Envía al hacker información de los sistemas infectados.
Ejecuta programas o archivos.
Formatea el disco duro.

PER ANTIVIRUS® versión 8.1 con registro de virus al 05 de Junio del 2003 detecta y elimina eficientemente este gusano/troyano/backdoor.