Asunto: Fwd: Scan your computer for this new virus threat...

Texto: This is a fix and removal for the new internet worm known as Bugbear. 1 in ever 4 computers in infected with this virus. When run, it will scan your computer and notify you if you're infected or not, then clean if infected

Datos adjuntos: Anti-Bug.exe

Mensaje 2, enviado a las direcciones extraídas de todos los archivos temporales (enlaces "mailto:" de archivos .HTM y .HTML). La lista es guardada en un archivo llamado EMAIL.TXT, creado en la misma carpeta donde se encuentre el ejecutable del gusano.

Intentará además capturar el nombre del usuario infectado, su dirección de correo y el servidor SMTP para enviarse a si mismo a todos los nombres recogidos en EMAIL.TXT, en un mensaje con las siguientes características:

Asunto: AntiVirus Updates:

Texto: A Removal to scan for the new Bugbear Virus. Recommended by [nombre de remitente]

Datos adjuntos: [dos archivos con varios nombres]

El nombre de los datos adjuntos está formado al azar por las siguientes variables:

Adjunto 1 (primera parte del nombre del primer adjunto, el archivo del gusano de 49,152 bytes):

Anti 0190 Dialer
Bearshare_Fix
Beyond_FF11
Borland Delphi 6 Key
Borland Delphi(all) Crack
Britney Spears Nude
Claudia_Schiffer
Cube Emulator
Edonkey_Fix
Email Bomber
Final_Fantasy10
Flock_Update
FTP Cracker
FullSpeed
Hotmail Hacker Tool
I-Explorer7.0
Jenifer Lopez Naked
Kaza_Fix
Kaza_Lite_Update_Fix
McAffea_KeyGen
Morpheus_Update_Fix
New_Napster_Clone
Pamela_Live_Fucking
Ps2 Crack
Ps2 Emulator
Reboot
Shakira Nude
Symantec_KeyGen
WinMx Hack
WinXP_Crack
XBox Emulator

Y una de las siguientes extensiones:

.bat
.exe
.pif
.scr

El adjunto es una copia del gusano.

Adjunto 2 (segundo archivo con tamaños variables):

AddamsFamily.theme
alcopaul.theme
AlexanderGrahamBellSecrets.zip
Anti 0190 Dialer.bat
BackstreetBoys.theme
Bearshare_Fix.bat
Beyond_FF11.bat
Britney Spears Nude.bat
BritneySpearsNude.theme
ChristinaAguilera.theme
CIASecrets.zip
Claudia_Schiffer.bat
CounterStrikeCheats.zip
CourtneyCoxNude.theme
CplusplusUnleashed.zip
CreditCardNumbers.zip
DisneyBedTimeStories.zip
DragonballZ.theme
DrNo.theme
Edonkey_Fix.bat
Email Bomber.bat
Energy.theme
EroticStories.zip
Final_Fantasy10.bat
Flock_Update.bat
FTP Cracker.bat
FullSpeed.bat
Goldfinger.theme
HackApacheServersScript.bat
Hackers.theme
HackHotmailScript.bat
HackIISServersScript.bat
Hacking101.zip
HackMozillaServersScript.bat
HackPayPalScript.bat
HackSQLServersScript.bat
HackXBoxScript.bat
HackYahooScript.bat
Hotmail Hacker Tool.bat
JamesBond.theme
JokeForTheDay.zip
Kaza_Fix.bat
Kaza_Lite_Update_Fix.bat
LearnCSharp.zip
LearnHTML.zip
LearnKylix.zip
LearnPHP.zip
LearnVisualBasic.NET.zip
LearnVisualBasic.zip
LearnVisualC.zip
LearnVisualFoxPro.zip
LordoftheRings.theme
MakeMillions.zip
McAffea_KeyGen.bat
MichelleBranch.theme
Morpheus_Update_Fix.bat
New_Napster_Clone.bat
NewsweekSeptemberEditionCompressed.zip
NicoleKidmanFuck.theme
NikolaTeslaNotes.zip
NSync.theme
Pamela_Live_Fuck.bat
Phreaking.zip
PlayboyCenterFolds.theme
Reboot.bat
RedirectMeToHollywood.bat
SamuraiX.theme
SecretsOfAlbertEinstein.zip
SecretsofLaoTse.zip
SecretsOfMicrosoftdotNET.zip
Shakira Nude.theme
Shrek.theme
StarWars.theme
StephenKingUnreleasedNotes.zip
Symantec_KeyGen.bat
TheHives.theme
ThomasEdisonSecrets.zip
TipsOnMakingYourPartnerWild.zip
TroubleshootingyourComputer.zip 
VirusWriting.zip
WindowsSourceCodeRedirect.bat
WinMx Hack.bat
WinXP_Crack.bat
XXX.theme
YouWantToBeAMillionaire.zip

Para generar esta segunda lista el gusano hace lo siguiente:

Si el archivo tiene extensión .ZIP, el gusano descarga de un sitio web una utilidad de compresión copiándola en la misma carpeta con el nombre de ZIPPY.EXE. Luego la ejecuta con el nombre elegido, produciendo una copia comprimida del propio gusano.

Si el archivo posee extensión .BAT o .THEME, el gusano intentará crear un archivo de texto con el contenido del propio gusano codificado. Cuando es ejecutado utilizará la utilidad DEBUG para crear con ese código una copia ejecutable del gusano. Sin embargo, los archivos .BAT y .THEME así creados, poseen errores internos que los hacen inoperativos.

Cuando cualquiera de los adjuntos es ejecutado (doble clic sobre el archivo), el gusano se copia a si mismo en la carpeta Windows (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).

C:\Windows\Shizzle.exe
C:\Windows\Anti-Bug.exe

También se crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinSrv = C:\WINDOWS\Shizzle.exe

Para propagarse a través de computadoras conectadas a la red KaZaa, el gusano se copia en las siguientes carpetas de archivos compartidos que existan:

C:\KaZaA\My Shared Folder
C:\Program Files\KaZaA\My Shared Folder

Utilizando los siguientes nombres:

All GamesHack.exe
Credit Cards.exe
HotMailHack.exe
HotMailHack.exe
ICQ Password Hack.exe
Macromedia Flash MX.exe
Swat 3 Full Download.exe
Tacony.exe
Unreal Tournament 3 FullDownloader.exe
WarCraft III Full.exe
WIN XPCrack.exe

Luego, el gusano muestra el siguiente mensaje en una ventana de error:

knOx Ownz
System Not Infected With Bugbear
[   OK   ]

El virus contiene una rutina maliciosa que utiliza una sucesión de PINGS para iniciar ataques de denegación de servicio (D.o.S) a la dirección: www.dokfleed.net


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools > Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

WinSrv = C:\WINDOWS\Shizzle.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Deshabilitar las entradas en el registro del KaZaa

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

3. Pinche en la carpeta "LocalContent" y en el panel de la derecha busque y borre la siguiente entrada:

DisableSharing = "0"

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
18/oct/02 - Alias: Hobbit, Win32/Hobbit@MM



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com