El gusano W32.Bugbear@mm es funcional solamente en sistemas Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me y al ser ejecutado, lleva a cabo las siguientes acciones:
Se copia a sí mismo como C:%System%****.exe, donde * representan letras elegidas por el gusano.
Nota: %system% es variable. El gusano localiza el directorio System (por defecto C:WindowsSystem o C:WinntSystem32) y se replica en esa ubicación.
Del mismo modo, se copia a sí mismo en el directorio de inicio (startup) como ***.exe, donde * representa letras elegidas por el gusano. Por ejemplo, podría copiarse como:
· C:WINDOWSStart MenuProgramsStartupCUU.EXE cuando se ejecute en un sistema bajo Win9.X
· C:Documents and SettingsStart MenuProgramsStartupCTI.EXE cuando se ejecute en sistemas bajo Windows 2000/NT
Crea tres ficheros cifrados con extensión .dll en el directorio C:%System y otros dos archivos cifrados de extensión .dat en C:%Windir%.
Estos cinco ficheros no son víricos en sí mismo, de modo que hay antivirus que no los detectan, haciendose necesaria su eliminación de forma manual.
Por ejemplo, el gusano podría crear los siguientes ficheros:
C:%System%iccyoa.dll
C:%System%lgguqaa.dll
C:%System%roomuaa.dll
C:%Windir%okkqsa.dat
C:%Windir%ussiwa.dat
Nota: %Windir% es variable. El gusano localiza el directorio Windows (por defecto C:Windows o C:Winnt) y crea los ficheros en esa ubicación.
Añade a la siguiente clave del registro, un valor referido al fichero .exe del gusano, de modo que este se ejecutará con cada reinicio del sistema.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
Elimina los siguientes procesos, en caso de que se esten ejecutando en el sistema:
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
Seguidamente intenta copiarse en el directorio de inicio (Startup) de sistema remoto incluidos en la red con un nombre ***.EXE, donde * son letras elegidas aleatoriamente por el gusano.
Busca direcciones de correo electrónico tanto en el buzón de entrada como en ficheros de las siguientes extensiones:
MMF
NCH
MBX
EML
TBB
DBX
OCS
De la clave del registro:
HKEY_CURRENT_USERSOFTWAREMicrosoftInternet Account ManagerAccounts
obtiene direcciones de correo del usuario actual, así como un servidor SMTP (Simple Mail Transfer Protocol).
A continuación utiliza su propio motor SMTP para enviarse a sí mismo a todas las direcciones de correo que haya encontrado.
El Asunto del mensaje es alguno de los incluidos en la siguiente lista:
$150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Confirmation of Recipes…
Correction of errors
Daily Email Reminder
empty account
ENCUESTA.xls
fantastic
free shipping!
Get 8 FREE issues – no risk!
Get a FREE gift!
Greets!
hello!
history screen
hmm..
I need help about script!!!
Interesting…
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
Payment notices
Please Help…
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
Your Gift
Your News Alert
El Cuerpo del correo electrónico no posee contenido ninguno.
El Fichero Anexo del mensaje, tiene un tamaño de 50.664 ó 50.688 Bytes, y puede ser alguno de los siguientes:
Setup.exe
3 July 2002.doc.pif
Feliz Cumpleaños.doc.scr
El correo electrónico hace uso de la vulnerabilidad «Incorrect MIME Header Can Cause IE to Execute E-mail Attachment» para autoejecutarse en sistemas vulnerables.
Notas: Para más información sobre esta vulnerabilidad, visite:
· Página oficial de Microsoft. (página en inglés)
· Detalles de esta vulnerabilidad en castellano. (página propia del Centro de Alerta Antivirus)
También podría enviar un correo electrónico a todas las direcciones predefinidas por el gusano. En este caso, el fichero anexo es setup.exe, que contiene información sobre el sistema infectado.
Infección a través de redes:
W32/Bugbear se propaga a través de recursos compartidos en red, no siendo capaz de diferenciar el tipo de recurso al que se propaga. Si el recurso en cuestión resulta ser una impresora, la consecuencia será la impresión del código binario del gusano. Esto puede traer consigo la saturación de las impresoras afectadas.
Por último, abre el puerto TCP 36794 y permite a un atacante remoto tomar el control de la máquina infectada.
Este acceso remoto permite la subir y descargar ficheros, la ejecución de archivos y la finalización de procesos.
Herramientas de desinfección:
Bit Defender
Symantec
Solución
1: Uso de antivirus actualizado.
2: Eliminación de las claves añadidas al registro y que provocan la ejecución automática del gusano con cada reinicio del sistema. (ver video en nuestra sección de AYUDA)
3: Eliminación manual de los ficheros creados por el gusano, pero que no son detectados por las aplicaciones antivirus, ya que no tienen contenido vírico.
4: MANTENGA SUS PROGRAMAS ACTUALIZADOS. Este virus se propaga usando una vulnerabilidad de Internet Explorer / Outlook Express de Marzo de 2001.
Nombres de Ficheros Adjuntos (virus que llegan por correo)
Feliz Cumpleaños.doc.scr
3 July 2002.doc.pif
Setup.exe
Centro CAT de Alertas Tempranas