|
VSantivirus No. 1064 Año 7, Viernes 6 de junio de 2003
W32/Bugbear.B. Peligroso gusano de gran propagación
http://www.vsantivirus.com/bugbear-b.htm
Nombre: W32/Bugbear.B
Tipo: Gusano de Internet, caballo de Troya e infector
Alias: PE_BUGBEAR.B, W32/Kijmo.A-mm, I-Worm.Tanatos.b, Tanatos.B, W32.Shamur, Bugbear.B, W32/Bugbear.B@mm, W32/Kijmo.A, I-Worm.Tanatos.B, Win32.Bugbear.B, Win32/Bugbear.B
Plataforma: Windows 32-bit
Tamaño: 72,192 bytes
Fecha: 5/jun/03
Esta nueva variante del gusano, incluye todas las funcionalidades del primero, con el agregado de una rutina que le permite infectar archivos.
Algunos síntomas de una infección:
- Reiteración del tilde cuando se pretende poner un acento:
Por ejemplo, al querer escribir: "infección", aparece "infecci´´on". Solo ocurre en principio con Windows en español (y tal vez en otros idiomas que utilicen tildes). Esto se debe a la rutina de captura de lo tecleado (keylogger), que está preparada para Windows en inglés.
- Un cortafuegos (ZoneAlarm por ejemplo), pide la conexión a Internet de un archivo desconocido de cuatro letras y extensión .EXE; por ejemplo SQCC.EXE, FGRR.EXE, EHTR.EXE, etc. Este archivo es el gusano que pretende conectarse a Internet para llevar a cabo sus rutinas de propagación.
- El gusano, también interrumpe las conexiones a Internet cuando se intentan ciertas acciones.
- Las impresoras de una red pueden comenzar a imprimir basura sin sentido. Este comportamiento se debe a que el gusano intenta infectar todos los dispositivos de una red, inclusive los PRN y LPT.
Lo que debemos saber del Bugbear.B
Una de las características que ha permitido que este gusano se propague masivamente, es su habilidad para añadirse a correos electrónicos existentes al ser estos enviados, o adjuntarse y reenviarse en mensajes ya enviados anteriormente.
También puede fingir ser la respuesta a un mensaje ya enviado. Combinado esto con direcciones de remitente falsificadas (obtenidas de la misma forma que las direcciones de los destinatarios), hace que la recepción de un mensaje infectado sea algo muy difícil de distinguir por usuarios sin experiencia. Un remitente muchas veces conocido, un mensaje en español con algún tema afín, e incluso una posible respuesta a otro mensaje, hacen que la curiosidad puedan más que la precaución, y el doble clic sobre el adjunto inicie la infección.
A esto se suma la falta de actualización de los antivirus, pero por culpa de los usuarios, que, o bien confían únicamente en una actualización automática, o no la realizan por pereza o por evitarse la molestia muchas veces de una larga descarga.
Los consejos para no infectarse son obvios, pero para muchos es necesario recordarlos continuamente:
- No confíe ciegamente en archivos adjuntos
- Nunca abra un adjunto no solicitado
- No asuma que su correo es seguro porque lo manda un conocido. Esta persona podría estar infectada sin saberlo
- Asegúrese de saber como actualizar su antivirus rápidamente. No espere estar infectado para aprenderlo
- Evite mandar usted mismo adjuntos a sus conocidos, como chistes, etc. Eso alienta a pensar que un adjunto puede ser seguro, cuando en cualquier momento se podría recibir un adjunto infectado
Descripción del gusano
El gusano utiliza su propia rutina de envío de mensajes (motor SMTP), por lo que no depende del cliente de correo instalado en la máquina de la víctima para propagarse.
Los mensajes infectados pueden fingir ser la respuesta a otros verdaderos. La mayoría de las veces se trata de un mensaje en español con temas conocidos o que despiertan nuestra curiosidad. Incluso puede ser una posible respuesta a otro mensaje.
Los asuntos están en relación con el mensaje. Sin embargo, en ocasiones (y en las primeras infecciones), el gusano se propagaba con alguno de los siguientes asuntos:
$150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Correction of errors
Cows
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
Hello!
Hi!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
News
Payment notices
Please Help...
Re:
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
wow!
Your Gift
Your News Alert
Texto del mensaje:
Vacío o el texto de algún mensaje anterior recibido por la víctima (como respuesta a éste).
El adjunto puede tener el nombre de un archivo tomado de la carpeta apuntada por la siguiente entrada del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders\Personal
Generalmente (en las versiones en español), esta carpeta es "Mis documentos". El gusano busca allí archivos con las siguientes extensiones:
.bat
.bmp
.c
.com
.cpl
.cpp
.diz
.dll
.exe
.gif
.h
.htm
.html
.ini
.jpeg
.jpg
.lnk
.reg
.sys
.txt
.vxd
Luego, se agrega al mensaje con dicho nombre (incluido el adjunto), y le agrega una de estas extensiones:
.exe
.ini
.scr
.pif
De ese modo, el gusano queda con doble extensión, y cualquier nombre, por ejemplo:
Carta a mi madre.doc.pif
Mi cachorrito.jpg.exe
Curriculum.doc.scr
La segunda extensión queda oculta en una instalación por defecto de Windows, ver en las referencias "Mostrar las extensiones verdaderas de los archivos".
En ocasiones el adjunto también puede incluir algunas de estas cadenas:
Card
data
Docs
image
images
music
news
photo
pics
resume
Setup
song
video
En ocasiones, el gusano envía adjuntos corruptos (incompletos), los cuáles son inofensivos. Algunos antivirus lo identifican como Bugbear.B.dam (la extensión .DAM por "damaged" o dañado)
o Bugbear.B.corrupted. Estos adjuntos pueden tener cualquier tamaño (o incluso no existir).
Es capaz de infectar al solo leer o ver en la vista previa el mensaje que lo contenga, en aquellos sistemas que no han sido actualizados con los parches correspondientes (vulnerabilidad
"Incorrect MIME Header"). Esto incluye Internet Explorer 5.0 y anteriores –- no soportados por Microsoft —- e Internet Explorer 5.01 a 5.5 sin parches.
El gusano se vale de los siguientes tipos MIME para que el Internet Explorer ejecute el archivo adjunto automáticamente en aquellos sistemas vulnerables.
text/html
text/plain
application/octet-stream
image/jpeg
image/gif
MIME (Multipurpose Internet Mail Extensions), es un protocolo que especifica la codificación y el formato de los contenidos de los mensajes. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el código contenido en el cuerpo del mensaje.
Vea al final del artículo: "Actualizar Internet Explorer"
El gusano evita enviar mensajes a direcciones de correo que incluyan parte de los siguientes textos en su nombre:
list
localdomain
localhost
lyris
mailer-daemon
majordom
nobody@
noreply
postmaster@
recipients
remove
root@
spam
talk
ticket
trojan
undisclosed
virus
Cuando se ejecuta, se copia a la carpeta indicada por la siguiente entrada del registro, para poder ejecutarse en el inicio de cualquier nueva sesión de Windows:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Shell Folders\
Common Startup = [carpeta de inicio todos los usuarios]
Generalmente, dicha carpeta puede ser alguna de las siguientes:
Windows 95, 98 y Me:
C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio
Windows XP y 2000:
C:\Documents and Settings
\All Users\Menú Inicio\Programas\Inicio
Windows NT:
C:\WinNT\Profiles
\All Users\Menú Inicio\Programas\Inicio
En otros idiomas:
C:\WINDOWS\All Users\Start Menu\Programs\StartUp
C:\Documents and Settings
\All Users\Start Menu\Programs\Startup
El nombre que utiliza para copiarse en esa carpeta está compuesta por cuatro caracteres al azar y la extensión .EXE. Ejemplos (las combinaciones son infinitas):
sqxp.exe
sqcc.exe
fgrr.exe
ehtr.exe
También copia un componente de
5,632 bytes (el keylogger) en la carpeta del sistema, con extensión .DLL:
c:\windows\system\[nombre variable].DLL
El [nombre variable] está formado por 7 caracteres al azar.
Además del componente .DLL mencionado (que contiene la rutina de "keylogger" con la que captura todo lo tecleado por la víctima infectada), el gusano crea dos archivos también con extensión .DLL pero conteniendo solo texto, totalmente inofensivos.
En la carpeta Windows\System crea un subdirectorio con un nombre al azar, donde almacena lo capturado por el keylogger. Esta carpeta contendrá toda la información capturada, y la misma podrá ser accesible por alguna de las rutinas del componente caballo de Troya del gusano.
NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).
Luego de la instalación, el gusano finaliza su propia ejecución y lanza un nuevo proceso desde la copia creada en la carpeta de inicio mencionada.
Para impedir ejecutarse varias veces en memoria, el gusano crea un mutex con el siguiente nombre:
w32shamur
Un mutex es un objeto que actúa como "semáforo" para controlar el acceso a cualquier tipo de programa o aplicación, evitando que más de un proceso acceda al mismo tiempo al mismo recurso.
Para propagarse, el gusano obtiene del registro de Windows los datos del servidor SMTP a utilizar de los valores de la cuenta por defecto del usuario infectado.
Los mensajes tienen las características vistas arriba.
Las direcciones utilizadas son obtenidas del caché de mensajes, libreta de direcciones y carpetas de mensajes encontradas en la máquina infectada. Para ello examina en todo el disco aquellos archivos o carpetas que contengan los siguientes textos en su nombre:
.dbx
.eml
.mbx
.mmf
.nch
.ods
.tbb
inbox
Esta versión del gusano puede infectar los siguientes archivos con extensión .EXE, ubicados tanto en el disco local como en recursos compartidos en red:
En la carpeta de Windows:
\scandskw.exe
\regedit.exe
\mplayer.exe
\hh.exe
\notepad.exe
\winhelp.exe
En la carpeta de "Archivos de programa":
\ACDSee32\ACDSee32.exe
\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
\adobe\acrobat 5.0\reader\acrord32.exe
\AIM95\aim.exe
\CuteFTP\cutftp32.exe
\DAP\DAP.exe
\Far\Far.exe
\ICQ\Icq.exe
\Internet Explorer\iexplore.exe
\kazaa\kazaa.exe
\Lavasoft\Ad-aware 6\Ad-aware.exe
\MSN Messenger\msnmsgr.exe
\Outlook Express\msimn.exe
\QuickTime\QuickTimePlayer.exe
\Real\RealPlayer\realplay.exe
\StreamCast\Morpheus\Morpheus.exe
\Trillian\Trillian.exe
\Winamp\winamp.exe
\Windows Media Player\mplayer2.exe
\WinRAR\WinRAR.exe
\winzip\winzip32.exe
\WS_FTP\WS_FTP95.exe
\Zone Labs\ZoneAlarm\ZoneAlarm.exe
La carpeta de "Archivos de programa", es la definida en la siguiente entrada del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ProgramFilesDir = [nombre de la carpeta]
Por ejemplo: "C:\Archivos de programa"
El gusano, además de infectar los archivos mencionados en cualquier unidad de red compartida, también intenta conectarse al recurso C$ pero por un error en su código falla en su intento.
Cuando se ejecuta, el gusano puede finalizar cualquiera de los siguientes procesos pertenecientes a conocidos antivirus y cortafuegos:
_avp32.exe
_avpcc.exe
_avpm.exe
ackwin32.exe
anti-trojan.exe
apvxdwin.exe
autodown.exe
avconsol.exe
ave32.exe
avgctrl.exe
avkserv.exe
avnt.exe
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avptc32.exe
avpupd.exe
avsched32.exe
avwin95.exe
avwupd32.exe
blackd.exe
blackice.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
claw95.exe
claw95cf.exe
cleaner.exe
cleaner3.exe
dvp95.exe
dvp95_0.exe
ecengine.exe
esafe.exe
espwatch.exe
f-agnt95.exe
findviru.exe
f-prot.exe
fprot.exe
f-prot95.exe
fp-win.exe
frw.exe
f-stopw.exe
iamapp.exe
iamserv.exe
ibmasn.exe
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icsupp95.exe
icsuppnt.exe
iface.exe
iomon98.exe
jedi.exe
lockdown2000.exe
lookout.exe
luall.exe
moolive.exe
mpftray.exe
n32scanw.exe
navapw32.exe
navlu32.exe
navnt.exe
navw32.exe
navwnt.exe
nisum.exe
nmain.exe
normist.exe
nupgrade.exe
nvc95.exe
outpost.exe
padmin.exe
pavcl.exe
pavsched.exe
pavw.exe
pccwin98.exe
pcfwallicon.exe
persfw.exe
rav7.exe
rav7win.exe
rescue.exe
safeweb.exe
scan32.exe
scan95.exe
scanpm.exe
scrscan.exe
serv95.exe
smc.exe
sphinx.exe
sweep95.exe
tbscan.exe
tca.exe
tds2-98.exe
tds2-nt.exe
vet95.exe
vettray.exe
vscan40.exe
vsecomr.exe
vshwin32.exe
vsstat.exe
webscanx.exe
wfindv32.exe
zonealarm.exe
El caballo de Troya
Además de su posibilidad de capturar todo lo tecleado por la
víctima, el componente troyano, abre el puerto 1080 y queda a la "escucha" de posibles comandos de un usuario remoto. Estos comandos pueden realizar las siguientes acciones:
- Borrar, copiar y ejecutar archivos
- Búsqueda de archivos
- Descarga y ejecución de archivos
- Envío de las contraseñas del caché
- Escribir datos en archivos
- Finalizar cualquier proceso activo
- Iniciar un servidor HTTP en la máquina
infectada
- Lista de procesos activos
- Obtener datos de la computadora infectada (hardware)
- Obtener datos del software instalado
- Obtener datos del usuario infectado
El usuario remoto también puede abrir un puerto 80 (HTTP) en la computadora infectada para acceder a un servidor provisto por el propio gusano. Esto le permite un acceso total al sistema infectado. Además, no se requiere autenticación segura para obtener acceso a este servidor, quedando la computadora infectada "abierta" a todo el mundo.
Modifica las computadoras de los bancos
En su código, el gusano guarda una larga lista de dominios pertenecientes en su mayoría a instituciones bancarias (son 1375 direcciones que se muestran detalladamente aquí:
http://www.vsantivirus.com/bugbear-b-bancos.htm). Cuando infecta una computadora, compara su dirección IP con esta lista. Si alguna coincide, puede modificar la característica de autodiscado de esa máquina.
La lista de bancos incluye países como Argentina, España, Brasil, México, Colombia, Francia, el Reino Unido, Alemania, Australia, Italia, Grecia, Dinamarca, Nueva Zelanda, Rumania, Polonia, Suiza, Finlandia, Taiwan, Turquía, Islandia, Eslovaquia, Corea, Estados Unidos, Africa del Sur, Austria, Hungría, Noruega, República Checa, etc.
Imprimiendo basura
Al igual que la primera versión, el gusano intenta copiarse a todos los recursos compartidos en red, incluyendo impresoras (dispositivo LPT o PRN). La respuesta visible a este intento de copiar el código binario del gusano en estos dispositivos, es imprimir dicho código, generando basura ininteligible. Es lo mismo que usar el comando COPY con un dispositivo LPT o PRN. El resultado de la "copia" es una impresión en papel.
En concreto, el gusano envía basura a las colas de impresión. Esto puede ocasionar múltiples atascos e inconvenientes, sobre todo en redes de gran tamaño. Cada una de las máquinas infectadas intenta infectar toda impresora que esté compartida en la red.
Es muy importante desconectar cada PC de la red, físicamente, antes de proceder a su limpieza individual.
Herramientas para quitar el W32/Bugbear.B de un sistema infectado
BitDefender
Descargue la utilidad "Antibugbear-es.exe" (57 Kb) y ejecútela en su sistema:
http://www.bitdefender.com/descarga/evaluacion/Antibugbear-es.exe
Copyright (C) BitDefender 2003.
Panda
Descargue "Pqremove.com" de este enlace (1.2Mb) y ejecútelo en su sistema:
http://updates.pandasoftware.com/pq/gen/bugbearb/pqremove.com
Copyright (C) Panda Software 2003.
Symantec
Descargue la utilidad "FixBugb.exe" (159 Kb) y ejecútela
en su sistema:
http://securityresponse.symantec.com/avcenter/FixBugb.exe
Copyright (C) Symantec 2003.
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Remoción del gusano utilizando una herramienta
La limpieza manual de este gusano puede ser complicada. Sugerimos utilizar herramientas de terceros como las que se indican más arriba. Se sugiere la herramienta de uso gratuito "PQREMOVE" de Panda Software, que puede ser descargada del siguiente enlace:
http://updates.pandasoftware.com/pq/gen/bugbearb/pqremove.com
Una vez descargada dicha herramienta, haga doble clic sobre el archivo PQREMOVE.COM.
Siga las indicaciones en pantalla hasta eliminar al gusano.
Es muy importante desconectar el PC de cualquier red antes de ello, y ejecutar esta herramienta en cada computadora en forma individual.
Información adicional
Actualizar Internet Explorer
Actualice su Internet Explorer según se explica en el siguiente artículo:
http://www.vsantivirus.com/vulms03-020.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|