W32/Bugbear-B
(8. lipnja 2003, 5. lipnja 2003)
 
 

Sophos Plc obavijestio nas je o novom crvu W32/Bugbear-B za koji je primio više prijava otkrivanja. Qubis d.o.o. je također primio veći broj prijava otkrivanja ovog crva u Hrvatskoj. Crva W32/Bugbear-B prepoznavat će Sophos Anti-Virus za srpanj 2003. (v.3.71).

Instalacije svih korisnika koji koriste Enterprise Manager, Sophosov alat za automatizirano dograđivanje putem Interneta, dograđene su automatski 5. lipnja 2003., kada je objavljena prva verzija ove dogradnje ili nakon toga, ovisno o tome kako je podešena učestalost dograđivanja.

Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dograde hitnom (i poboljšanom) dogradnjom za prepoznavanje ovog crva, koju možete naći na http://www.sophos.com/downloads/ide/.

Alternativno, identitet za prepoznavanje crva možete naći i ovdje.

Vrsta

Win32 crv, Win32 virus

Alias

Bugbear.B, I-Worm.Tanatos.b

Uklanjanje

Poboljšana dogradnja za prepoznavanje virusa/crva uključuje mogućnost čišćenja inficiranih datoteka, a od korisnika imamo dojave da se dezinfekcija u mnogim slučajevima obavlja uspješno.

U slučaju varijante W32/Bugbear-Dam koja je zapravo samo fragment pravog virusa dovoljno je obrisati eventualno inficiranu datoteku.

Otkrivanje

Aktivno inficirano računalo se može otkriti po nekoliko simptoma, a najjednostavniji i najbrži je pokazatelj aktivnost na portu 1080 (a ponekad i na portu 80, ako skenirano računalo inače nema otvoren taj port).

Način širenja

W32/Bugbear-B je polimorfni virus/crv koji se širi e-mailom i kopiranjem na dostupne shared-foldere na mreži, a pri širenju e-mailom može koristiti sigurnosni propust opisan u biltenu MS01-027. U pokušaju širenja mrežom, kao i njegov prethodnik W32/Bugbear-A, ovaj crv se kopira i na dijeljene mrežne pisače što dovodi do nepotrebnog ispisivanja veće količine papira ("smeće"). Adrese na koje će se poslati pronalazi u Inbox-u i datotekama s nastavkom .dbx, .eml, .mbx, .mmf, .nch, .ocs i .tbb i koristeći vlastiti SMTP mehanizam šalje se upisujući lažne podatke u polja "From:" i "ReplyTo:". Subjekt i tijelo poruke također odabire nasumično iz već postojećih mailova, pa mail koji primatelji prime može izgledati "normalno". Attachmenti će poprimiti naziv odabran slučajno prema nekom dokumentu u direktoriju "My documents", a nastavak se tvori upotrebom dvostruke ekstenzije: prvo .reg, .ini, .bat, .diz, .txt, .cpp, .html, .htm, .jpeg, .jpg, .gif, .cpl, .dll, .vxd, .sys, .com, .exe ili .bmp na koju dodaje .exe, .scr ili .pif.

Aktivnosti / Simptomi / Posljedice

Po pokretanju kreira sljedeće datoteke:

  • ..\StartUp\???.EXE (obično veličine 72192 bajtova)
  • ..\System\???????.DLL (obično veličine 5632 bajtova)
  • ..\System32\???????.DLL (obično veličine 5632 bajtova)

Virusna komponenta će inficirati ove datoteke:

  • U folderu gdje se nalazi instalacija Windowsa:
  • scandskw.exe
  • regedit.exe
  • mplayer.exe
  • hh.exe
  • notepad.exe
  • winhelp.exe
  • U folderu %Program files%:
  • Internet Explorer\iexplore.exe
  • adobe\acrobat 5.0\reader\acrord32.exe
  • WinRAR\WinRAR.exe
  • Windows Media Player\mplayer2.exe
  • Real\RealPlayer\realplay.exe
  • Outlook Express\msimn.exe
  • Far\Far.exe
  • CuteFTP\cutftp32.exe
  • Adobe\Acrobat 4.0\Reader\AcroRd32.exe
  • ACDSee32\ACDSee32.exe
  • MSN Messenger\msnmsgr.exe
  • WS_FTP\WS_FTP95.exe
  • QuickTime\QuickTimePlayer.exe
  • StreamCast\Morpheus\Morpheus.exe
  • Zone Labs\ZoneAlarm\ZoneAlarm.exe
  • Trillian\Trillian.exe
  • Lavasoft\Ad-aware 6\Ad-aware.exe
  • AIM95\aim.exe
  • Winamp\winamp.exe
  • DAP\DAP.exe
  • ICQ\Icq.exe
  • kazaa\kazaa.exe
  • winzip\winzip32.exe
  • Na lokalnim ili mrežnim diskovima:
  • scandskw.exe
  • regedit.exe
  • mplayer.exe
  • hh.exe
  • notepad.exe
  • winhelp.exe
  • Internet Explorer\iexplore.exe
  • adobe\acrobat 5.0\reader\acrord32.exe
  • WinRAR\WinRAR.exe
  • Windows Media Player\mplayer2.exe
  • Real\RealPlayer\realplay.exe
  • Outlook Express\msimn.exe
  • Far\Far.exe
  • CuteFTP\cutftp32.exe
  • Adobe\Acrobat 4.0\Reader\AcroRd32.exe
  • ACDSee32\ACDSee32.exe
  • MSN Messenger\msnmsgr.exe
  • WS_FTP\WS_FTP95.exe
  • QuickTime\QuickTimePlayer.exe
  • StreamCast\Morpheus\Morpheus.exe
  • Zone Labs\ZoneAlarm\ZoneAlarm.exe
  • Trillian\Trillian.exe
  • Lavasoft\Ad-aware 6\Ad-aware.exe
  • AIM95\aim.exe
  • Winamp\winamp.exe
  • DAP\DAP.exe
  • ICQ\Icq.exe
  • kazaa\kazaa.exe
  • winzip\winzip32.exe

Primijećena je još jedna aktivnost virusa/crva - po aktiviranju pokušava zaustaviti sigurnosne programe sljedećih naziva:

_avp32.exe , _avpcc.exe, _avpm.exe, ackwin32.exe, anti-trojan.exe, apvxdwin.exe, autodown.exe, avconsol.exe, ave32.exe, avgctrl.exe, avkserv.exe, avnt.exe, avp.exe, avp32.exe, avpcc.exe, avpdos32.exe, avpm.exe, avptc32.exe, avpupd.exe, avsched32.exe, avwin95.exe, avwupd32.exe, blackd.exe, blackice.exe, cfiadmin.exe, cfiaudit.exe, cfinet.exe, cfinet32.exe, claw95.exe, claw95cf.exe, cleaner.exe, cleaner3.exe, dvp95.exe, dvp95_0.exe, ecengine.exe, esafe.exe, espwatch.exe, f-agnt95.exe, f-prot.exe, f-prot95.exe, f-stopw.exe, findviru.exe, fp-win.exe, fprot.exe, frw.exe, iamapp.exe, iamserv.exe, ibmasn.exe, ibmavsp.exe, icload95.exe, icloadnt.exe, icmon.exe, icsupp95.exe, icsuppnt.exe, iface.exe, iomon98.exe, jedi.exe, lockdown2000.exe, lookout.exe, luall.exe, moolive.exe, mpftray.exe, n32scanw.exe, navapw32.exe, navlu32.exe, navnt.exe, navw32.exe, navwnt.exe, nisum.exe, nmain.exe, normist.exe, nupgrade.exe, nvc95.exe, outpost.exe, padmin.exe, pavcl.exe, pavsched.exe, pavw.exe, pccwin98.exe, pcfwallicon.exe, persfw.exe, rav7.exe, rav7win.exe, rescue.exe, safeweb.exe, scan32.exe, scan95.exe, scanpm.exe, scrscan.exe, serv95.exe, smc.exe, sphinx.exe, sweep95.exe, tbscan.exe, tca.exe, tds2-98.exe, tds2-nt.exe, vet95.exe, vettray.exe, vscan40.exe, vsecomr.exe, vshwin32.exe, vsstat.exe, webscanx.exe, wfindv32.exe, zonealarm.exe

No, ni to nije sve - može otvoriti portove 80 i 1080 da bi omogućio kontrolu udaljenim računalima. Udaljenom kontrolom mogu se obavljati sljedeće aktivnosti:

  • uzimanje zaporki iz cache memorije u šifriranom obliku
  • preuzimanje (download) datoteka
  • traženje, pokretanje, uklanjanje i kopiranje datoteka
  • zapisivanje u datoteke
  • pregled i zaustavljanje procesa
  • dohvat raznih podataka kao što su ime korisnika, vrsta procesora, verzija Windowsa, količina memorije, vrsta i ostali podaci o diskovima

Zaštita od infekcije

  • primijeniti sigurnosnu zakrpu
  • podučiti krajnje korisnike da s oprezom postupaju prema mailu pošiljatelja s kojima se inače ne dopisuju, a posebno da ne otvaraju attachment–e koji se mogu izvršavati (.EXE, .COM, .PIF, .SCR, itd …)
  • zabraniti promet izvršnim datotekama na mail serverima

Ostalo

Još podataka možete pronaći na sljedećim stranicama:

Primijećeno je da se crv ponekad neuspješno pošalje pomoću e-maila, pa korisnicima dolaze poruke bez privitka ili s privitkom koji nije u stanju izazvati nikakvu štetu. Opis te oštećene varijante crva možete pronaći na sljedećoj stranici:

Sažetak svojstava

Širenje
E-MailR
Network shareR
P2PQ
Lažni From:R
Aktivnost
Zaustavlja AV i druge sigurnosne programeR
Mijenja registryQ
Kreira / Mijenja datotekeR
Inficira datotekeR
Otvara backdoorR
Otvara port: 80, 1080R
KeyLoggingR
AutoUpdateQ
Uklanjanje
Clean / Remove (DOS / Safe mode + Cmd prompt)  R
Promjena registry-ja?Q
Dezinfekcija datotekaR
Uklanjanje datotekaR
Zaštita
Patch? Microsoft MS01-027R
Content filtering?R
Edukacija korisnikaR