W32.Bugbear@mm è un mass-mailing worm. Può anche diffondersi attraverso condivisioni di rete. Ha capacità di registrare i tasti battuti sulla tastiera e di backdoor. Il worm tenta anche di terminare i processi di vari antivirus e firewall.
E’ scritto in Microsoft Visual C/C++ e compresso con UPX v0.76.1-1.22.
E’ riconosciuto dagli altri antivirus come: W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure]
Sistemi infettati: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Sistemi non infettati: Macintosh, Unix, Linux
Soggetto dell’email: variabile
Nome dell’allegato: variabile, con doppia estensione, termina in .exe, .scr o .pif
Dimensione dell’allegato: 50,688 bytes
Dettagli tecnici:
Quando W32.Bugbear@mm viene eseguito:
- Copia se stesso come C:\%System%\****.exe, dove * rappresenta lettere scelte dal worm.
- Copia se stesso nella cartella di startup come ***.exe, dove * rappresenta lettere scelte dal worm.
- Crea tre file .dll criptati nella cartella C:\%System e due files .dat criptati nella cartellaC:\%Windir%.
Una delle dll è usata dal worm per intercettare i tasti digitati sulla tastiera e i movimenti del mouse. Questa .dll è di 5,632 bytes ed è riconosciuto dal Norton Antivirus comeSymantec PWS.Hooker.Trojan.
I files non riconosciuti dall'antivirus non sono di per sé virali, ma sono usati dal worm per registrare informazioni in forma criptata.
Se sei infetto con W32.Bugbear@mm, devi cancellare questi files manualmente.
- Aggiunge il valore
<random letters> <the worm's file name>
nella chiave di registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce
Chiude I seguenti processi se sono in esecuzione nel sistema:
[vd. lista a http://securityresponse.symantec.com...ugbear@mm.html
Il worm determina quale sistema operativo è in esecuzione e usa differenti routines per chiudere le task.
- Cerca indirizzi e-mail nella cartella in-box e nei file con le seguenti :
· MMF
· NCH
· MBX
· EML
· TBB
· DBX
· OCS
- Recupera l’indirizzo e-mail dell’utente e l’SMTP server dalla chiave di registro
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts
Usa il suo motore SMTP per spedirsi a tutti gli indirizzi e-mail che trova.
Il soggetto può essere uno dei seguenti:
Greets!
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!
Il worm legge icontenuti del valore Personal nella chiave di registro
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Shell Folders
ed elenca i files che sono conservati in quella posizione (di solito la cartella Documenti).
I nomi di questi files sono usati per comporre il nome dell'allegato infetto. Inoltre l'allegato potrebbe avere uno dei seguenti nomi:
readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data
L’allegato ha doppia estensione, la seconda è .scr, .pif, o.exe.
Inoltre a seconda del file che usa determina il "content/type" dell'oggetto allegato.
L’e-mail usa la vulnerabilità "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" per autoeseguirsi su un sistema vulnerabile.
- Apre una porta TCP 36794 e permette al “remote hacker” il controllo del pc compromesso. Le azioni consentite da remoto possono essere:
- cancellare files
- terminare processi
- elencare i processi attivi e spedire la lista al controllore remoto
- copiare files
- iniziare processi
- elencare i files e spedire la lista al controllore remoto
- Spedire al controllore remoto, in forma criptata, i tasti intercettati. Questo potrebbe rivelare informazioni confidenziali digitate sul pc (password, dettagli di login, numeri di carte di credito, ecc.)
- Spedire info sul sistema indicando: nome utente, processore, versione diwindows, informazioni sulla memoria, drive locali, loro tipologie e caratteristiche fisiche, lisa delle risorse di rete e loro caratteristiche.
Se il sitema operativo è Windows 95/98/Me, il worm tenta di ottenere l'accesso alla cache delle password. Le password registrate comprendono password di modem e dial-up, password di rete, e altre. Questo è ottenuto utilizzando la non documentata funzione--WNetEnumCachedPasswords--che esiste solamente nella versione per Windows95/98/Me del file Mpr.dll.
Uno dei comandi permette al Trojan di spedire informazioni usando la porta 80. i risultati delle attività di backdoor possono essere rappresentate sotto forma di pagine html. Questo da una via buona per navigare le risorse del pc.
- Il worm si propaga attraverso le reti. Per fare questo, il worm prima elenca tutte le risorse di rete. e trova permessi da Amministratore si copia nella cartella Starup del pc remoto, così da essere eseguito al successivo riavvio della macchina.
Ulteriori info su: http://securityresponse.symantec.com...ugbear@mm.html