|
VSantivirus No. 815 - Año 6 - Lunes 30 de setiembre 2002
VSantivirus No. 816 - Año 6 - Martes 1 de octubre 2002
W32/Bugbear.A (Tanatos), un gusano de rápida propagación
http://www.vsantivirus.com/bugbear-a.htm
Nombre: W32/Bugbear.A (Tanatos)
Tipo: Gusano de Internet
Alias: W32/Bugbear-A, Tanat, Tanatos, W32/BugBear-mm, WORM_BUGBEAR.A, W32/Bugbear, I-Worm.Bugbear, W32/Tanat, I-Worm.Tanatos, W32.Bugbear@mm, W32/Bugbear.A@mm, W32/Bugbear.worm, Win32Bugbear, Worm/Tanatos, WORM_NATOSTA.A
Fecha: 30/set/02
Plataforma: Windows 32-bits
Tamaño: 50,664 bytes (50,688 bytes)
Reportado por primera vez: Malasia
Propagación: Alta
Este gusano, escrito en Microsoft Visual C/C++ y comprimido con la utilidad UPX, tiene la capacidad de propagarse a través de su propio SMTP (Simple Mail Transfer Protocol), además de redes compartidas.
El mensaje no contiene ningún texto en su cuerpo, y puede traer alguno de los siguientes asuntos:
$150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Confirmation of Recipes…
Correction of errors
Daily Email Reminder
empty account
ENCUESTA.xls
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
hello!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
Payment notices
Please Help...
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
Your Gift
Your News Alert
También el gusano 'puede pedir prestado' el nombre de uno de los archivos en el disco duro de la máquina infectada, agregándole una extensión ejecutable, por ejemplo FACTURA.DOC.PIF.
El adjunto, tiene nombres variables, la
mayoría con doble extensión (.exe, .doc.pif, .doc.scr, .pif, .com, .bat, .scr, etc.).
La primera extensión suele ser una de las siguientes:
.reg
.ini
.bat
.h
.diz
.txt
.cpp
.c
.html
.htm
.jpeg
.jpg
.gif
La segunda extensión puede ser una de las siguientes:
.scr
.pif
.exe
El adjunto también puede tener una de estas expresiones:
readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data
Estos son algunos ejemplos de las primeras infecciones:
Setup.exe
3 July 2002.doc.pif
Feliz Cumpleaños.doc.scr
En el campo "Para:", el mensaje utiliza la lista de contactos de la libreta de direcciones de Windows del usuario infectado (WAB, Windows Address Book). También busca direcciones en archivos con las siguientes extensiones (en el campo "De:"):
.dbx
.eml
.mbx
.mmf
.nch
.tbb
El gusano evita enviarse a direcciones que contengan las siguientes expresiones, seguramente para evitar rebotes y otros eventos no deseados:
remove
spam
undisclosed
recipients
noreply
lyris
virus
trojan
mailer-daemon
postmaster@
root@
nobody@
localhost
localdomain
list
talk
ticket
majordom
Obtiene los datos del servidor SMTP de la siguiente clave:
HKCU\SOFTWARE\Microsoft\Internet Account Manager\Accounts
El gusano hace uso de una conocida vulnerabilidad en Internet Explorer 5.01 y 5.5 que no han sido actualizados con los parches respectivos. Internet Explorer 6 es invulnerable a esta falla. La falla permite la autoejecución del adjunto con solo leer el mensaje o verlo en el panel de vista previa del Outlook y Outlook
Express, y consiste en la suplantación en la etiqueta "Content-Type: audio/x-midi;",
por un archivo ejecutable, en lugar de un archivo de audio por
ejemplo (name=Feliz Cumpleaños.doc.scr).
Otros tipos de archivos de los que se aprovecha la vulnerabilidad:
image/gif
image/jpeg
application/octet-stream
text/plain
text/html
El gusano se copia a si mismo en la carpeta System de Windows, con un nombre de cuatro letras seleccionadas al azar con extensión .exe..
Esta carpeta normalmente es 'C:\Windows\System' en Windows 9x/ME, o puede ser 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).
Por ejemplo:
C:\Windows\System\****.exe
(Los asteriscos representan letras al azar,
por ejemplo "jvhy.exe").
También modifica el registro para autoejecutarse en cada nuevo reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
[nombre] = [gusano]
Por ejemplo:
dhl = jvhy.exe
Esta entrada es vuelta a crear por el
gusano, ya que el sistema la elimina al ser de una sola
ejecución (RunOnce).
También crea una copia de si mismo con un nombre de tres
caracteres al azar en la carpeta de autoinicio de Windows, lo que también hace que se ejecute al iniciarse el sistema
operativo:
En Windows 9x:
C:\WINDOWS\Start
Menu\Programs\Startup\***.EXE
O en la versión de Windows en español
C:\WINDOWS\Menú
Inicio\Programas\Inicio\***.EXE
En Windows 2000, NT:
C:\Documents and
Settings\[usuario]\Start Menu\Programs\Startup\***.EXE
Los asteriscos son tres letras al azar (por
ejemplo "oyi.exe").
Crea además, tres archivos .DLL encriptados en la carpeta System, y dos .DAT en la carpeta de Windows. Estos cinco archivos,
con nombres al azar de 6 a 8 caracteres, no contienen código
viral, y son utilizados por la parte del troyano y el
"keylogger" que captura todo lo tecleado por la
víctima:
C:\Windows\System\******.dll
C:\Windows\System\*******.dll
C:\Windows\System\*******.dll
C:\Windows\******.dat
C:\Windows\******.dat
Los asteriscos son caracteres al azar (Ej: okkqsa.dat, ussiwa.dat,
zpfgazq.dll, esgcae.dll, pjdoapu.dll)
El gusano actúa además como troyano de acceso remoto, habilitando el puerto TCP 36794 para recibir ordenes de un posible atacante.
Para ello, permite el acceso desde una interface tipo Web, generando "al vuelo" páginas HTML en la computadora infectada, que contienen accesos a los diferentes recursos de la misma.
El gusano intenta además copiarse en las carpetas de inicio de las computadoras remotas que estén en red, con el nombre de C**.EXE, donde los asteriscos son letras seleccionadas al
azar:
\Start Menu\Programs\Startup\***.EXE
\Menú
Inicio\Programas\Inicio\***.EXE
\Documents and
Settings\[usuario]\Start Menu\Programs\Startup\***.EXE
|
Finalmente, también finaliza varios productos antivirus y cortafuegos que se estén ejecutando en el momento de la ejecución, desactivando
en memoria las siguientes tareas:
_avp32.exe
_avpcc.exe
_avpm.exe
Ackwin32.exe
Anti-Trojan.exe
Apvxdwin.exe
Autodown.exe
Avconsol.exe
Ave32.exe
Avgctrl.exe
Avnt.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Avptc32.exe
Avpupd.exe
Avsched32.exe
Avwin95.exe
Avwupd32.exe
Blackd.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Claw95.exe
Claw95cf.exe
Cleaner.exe
Cleaner3.exe
Dvp95.exe
Dvp95_0.exe
Ecengine.exe
Esafe.exe
Espwatch.exe
F-Agnt95.exe
Findviru.exe
F-Prot.exe
Fprot.exe
F-Prot95.exe
Fp-Win.exe
Frw.exe
F-Stopw.exe
Iamapp.exe
Iamserv.exe
Ibmasn.exe
Ibmavsp.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Iface.exe
Iomon98.exe
Jedi.exe
Lockdown2000.exe
Lookout.exe
Luall.exe
Moolive.exe
Mpftray.exe
N32scanw.exe
Navapw32.exe
Navlu32.exe
Navnt.exe
Navw32.exe
Navwnt.exe
Nisum.exe
Nmain.exe
Normist.exe
Nupgrade.exe
Nvc95.exe
Outpost.exe
Padmin.exe
Pavcl.exe
Pavsched.exe
Pavw.exe
Pccwin98.exe
Pcfwallicon.exe
Persfw.exe
Rav7.exe
Rav7win.exe
Rescue.exe
Safeweb.exe
Scan32.exe
Scan95.exe
Scanpm.exe
Scrscan.exe
Serv95.exe
Smc.exe
Sphinx.exe
Sweep95.exe
Tbscan.exe
Tca.exe
Tds2-98.exe
Tds2-Nt.exe
Vet95.exe
Vettray.exe
Vkserv.exe
Vscan40.exe
Vsecomr.exe
Vshwin32.exe
Vsstat.exe
Webscanx.exe
Wfindv32.exe
Zonealarm.exe
Información actualizada (3/oct/02)
Impresoras infectadas
A medida que aumenta la cantidad de infecciones de este gusano, se conocen más detalles del mismo, algunos ignorados por los laboratorios antivirus en sus primeros exámenes.
Una de sus características, es que intenta copiarse a todos los recursos compartidos en red, incluyendo impresoras.
Lógicamente, una impresora no puede ser infectada (tal vez el software, pero no la impresora), y como respuesta visible a este intento de copiar el código binario del gusano en ellas, intenta imprimir dicho código, generando basura ininteligible. Es lo mismo que usar el comando COPY con un dispositivo LPT o PRN. El resultado de la "copia" es una impresión en papel.
En concreto, el gusano envía basura a las colas de impresión. Esto no solo ha ocasionando múltiples atascos e inconvenientes, sino que ha creado innumerables problemas, sobre todo en administradores de redes de gran tamaño.
Cada una de las máquinas infectadas intenta infectar toda impresora que esté compartida en la red. Detener esta catarata de impresoras escupiendo basura al papel, y saturando los spools, ha producido grandes dolores de cabeza, sobre todo cuando no se sabía aún que la causa era el Bugbear.
Una de las consultas que más nos han hecho sobre este tema, ha sido la de como detener esta acción. La respuesta es simple, eliminar el gusano. Sin embargo, en varios casos, esto parecía no funcionar. La razón es que el virus aún seguía activo, o no se habían reseteado todas las colas de impresión. Y es muy importante desconectar cada PC de la red, físicamente, antes de proceder a su limpieza individual. Es la única forma de asegurarnos de tener éxito.
Y por supuesto, de nada vale hacer eso si luego no aplicamos una política estricta al manejar el correo (no abrir NINGUN adjunto no solicitado, deshabilitar las vistas previas del Outlook, actualizar con los parches respectivos las versiones del Internet Explorer y Outlook Express).
Los anzuelos del gusano
El gusano también ha cambiado la forma de presentarse. En ocasiones, nos puede llegar en un mensaje que no se autoejecuta, pero con un texto en nuestro idioma (al azar, supuestamente tomado de documentos de la máquina infectada), que puede engañar muy bien a cualquiera, obligándolo a ejecutar el adjunto.
Estas son muestras a modo de ejemplo (no deben tomarse más que como ejemplos, ya que tanto el remitente, asunto, texto y nombre del adjunto varían en cada envío, haciendo más difícil desechar el mensaje antes de abrirlo):
Ejemplo 1:
De: [usuario infectado]
Fecha: Miércoles, 02 de Octubre de 2002 14:00
Para: Ninguno
Asunto: Club de Leones San Lorenzo Chile-Medio ambiente
Adjuntar: bd1.mdb.scr (50,8 Kb)
Estimado Jaime,
De acuerdo a lo conversado telefonicamente, queremos efectuar nuestra = =FAltima gesti=F3n en favor de la protecci=F3n del medio ambiente como Club de = Leones San Lorenzo; por tal motivo estamos pensando entregar a todos los clubes de leones del distrito T-1 Fichas T=E9cnicas, Poster a Color y otros = relacionados (similar a lo que hicimos con el proyecto seguridad es
Ejemplo 2:
De: [usuario infectado]
Fecha: Jueves, 03 de Octubre de 2002 06:22
Para: Ninguno
Asunto: LLI - Foro: Las teorias de la conspiracion
Adjuntar: claves de la compu.txt.pif (50,8 Kb)
Estimados amigo:
Cree usted que detras del 11 de septiembre hay gato encerrado?
Esperamos su opinion en el foro 'Bin Laden, Bush, y las teorias de la conspiracion', en POLITICA INTERNACIONAL.
http://www.xxxxxxxxxxxx.com/enlinea2.asp?sec=xxxx
Ejemplo 3:
De: [usuario infectado]
Fecha: Miércoles, 02 de Octubre de 2002 22:34:55
Para: Ninguno
Asunto: Iniciar un Cambio
Adjuntar: Cultura-contin.doc.scr (50,8 Kb)
Att:[nombre]
PRESENTE
En estos momentos el desafio es aumentar las ingresos, pero como lo hacemos?
La competencia es feroz, hay que idear nuevas y mejores estrategias para llegar al mercado y a los
Tanto el tema de las "impresoras infectadas" como el de adjuntos que no se autoejecutan, más que una característica premeditada, parece tratarse de errores o descuidos durante la programación del gusano.
Cómo lo puede ser el uso erróneo de algunas etiquetas MIME (la vulnerabilidad que permite que un adjunto se ejecute sin necesidad de abrir el adjunto), que hace que en ocasiones eso no ocurra. Por ejemplo:
Content-Type: audio/x-midi;
(Se autoejecuta)
Content-Type: application/x-msdownload; (No se autoejecuta)
Las teclas que apretamos
Otro síntoma de la infección en sistemas con Windows en español, es la reiteración del tilde cuando se pretende poner un acento:
Por ejemplo, al querer escribir: "infección", aparece
"infecci´´on"
El gusano, también interrumpe las conexiones a Internet cuando se intentan ciertas acciones.
Luego de diversas pruebas, hemos notado que la tarea de eliminar el gusano con la herramienta de BitDefender desde Windows, con el gusano activo, crea numerosos problemas, en los que en ocasiones parece que el virus literalmente estuviera jugando con nosotros, por lo que aconsejamos hacerlo siempre en modo a prueba de fallas. Todo ello se explica en la actualización que hemos hecho del método de limpieza.
De todos modos, recordamos que dicha herramienta debe aplicarse luego de reiniciar, con la computadora desconectada de la red, y se debe reiterar el escaneo un par de veces antes de reiniciar y volver a usar dicha herramienta.
Luego de una limpieza por ese método, generalmente no es necesario reinstalar ningún programa, no siquiera los antivirus.
Herramienta para quitar el W32/Bugbear.A de un sistema infectado
La herramienta AntiBugBear-ES de BitDefender, limpia el virus de un sistema infectado, además de restablecer los cambios realizados en la configuración del sistema.
Descargue AntiBugBear-ES.exe del siguiente enlace y proceda a ejecutarlo en su PC, siguiendo las indicaciones de "Reparación manual (actualizada 2/oct/02)".
Descarga directa:
http://www.videosoft.net.uy/AntiBugBear-ES.exe
(57 Kb)
Más información:
http://www.bitdefender-es.com/html/tools_gratis.php
Reparación manual (actualizada 2/oct/02)
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
1. Actualice sus antivirus y F-Prot con las últimas definiciones, luego reinicie Windows desde disquetes y ejecute F-Prot, como se explica aquí:
Cómo ejecutar F-PROT desde disquetes
http://www.vsantivirus.com/fprot-disq.htm
2. Reinicie en modo a prueba de fallos como se indica aquí:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute la herramienta de BitDefender (AntiBugBear-ES.exe) descargada antes.
3. Borre los archivos detectados como infectados
4. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.
5. Borre también los mensajes electrónicos recibidos con el gusano.
6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Actualizar Internet Explorer
Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:
Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm
O instale el IE 6.0, Service Pack 1 (SP1):
Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Más información:
Bugbear, el gusano que "infecta" impresoras
http://www.vsantivirus.com/faq-bugbear.htm
Lo que usted más se pregunta sobre el Bugbear
http://www.vsantivirus.com/faq2-bugbear.htm
Actualizaciones:
02/oct/02 - Se agrega información del gusano, se cambian algunos datos de los nombres de los archivos involucrados y se actualiza la forma de limpieza del mismo.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|