El nuevo virus Bugbear se difunde rápidamente   .  

Un nuevo virus llamado BugBear ( Win32.BugBear.B@mm ) circula en Internet causando múltiples estragos y difundiéndose a una velocidad alarmante .
Lo llamativo de este nuevo virus es que envía emails con títulos casi creíbles usando tácticas de ingeniería social como se describirá más adelante. El virus una vez que se ejecuta examina y busca direcciones de e-mails de su ordenador y envía  un mensaje infectado con el contenido de algún mail que haya en su computadora . También tiene la habilidad de leer y grabar las claves que usted ingresa en Internet y luego las envía por Internet a personas al azar . ¡Casi nada !

Es importante recordar las 7 reglas fundamentales de Red21 para no adquirir virus . Podéis leerlas en www.red21.com/cursos/7reglas.htm  .

Le recomendamos imprimir esta información para futura referencia .

Información proporcionada por Bitdefender.com acerca del virus BugBear:

La versión BugBear.B es extremadamente virulenta e increíblemente más evolucionada que la primera variante del virus, por lo menos en lo que atañe al desarrollo estructural. BugBear.B ataca a un sistema por casi todas las vías de entrada: correo, archivos compartidos en la red - infección de ficheros, tiene componentes de backdoor Troyano y de keylogger (lee las claves que usted escribe).

La principal diferencia con los virus anteriores, incluyendo Klez, reside en el tipo de ingeniería social: Klez toma direcciones de correo desde los discos duros infectados, pero lleva consigo una enorme base de datos para compilar los cuerpos del mensaje y los asuntos. BugBear.B introduce un truco absolutamente remarcable: busca direcciones de e-mail no solamente en las bases de datos de correo, sino también en cada uno de los ficheros almacenados en los ordenadores infectados; de esta manera recoge una cantidad inimaginable de direcciones. Además, no emplea cuerpos de mensaje predefinidos, sino que compila nuevos mensajes conteniendo informaciones encontradas en el ordenador atacado. De esta manera, la credibilidad de los mensajes enviados aumenta a niveles impresionantes: la gente recibe mensajes de sus amigos y - lo más importante - en su lengua y con un contenido plausible.

La herramienta gratuita de desinfección está disponible en español, inglés, francés y alemán en los sitios web de BitDefender. La versión en español se puede descargar desde: http://www.bitdefender.com/html/tools_gratis.php
 
A continuación incluimos la descripción y los datos técnicos referentes al virus BugBear.B.


Descripción:

Nombre: Win32.BugBear.B@mm
Alias: W32/Bugbear@MM, W32.Bugbear.B@mm
Tipo: Backdoor ejecutable, Infector de ficheros, mensajero masivo
Tamaño: 72192 bytes
Descubierto: 05.06.2003
Detectado: 05.06.2003, 14:00 (GMT+1)
Propagación: Alta
Riesgo: Medio
ITW: Sí

Descripción técnica:

Se trata de un gusano de Internet que se propaga a través de email y a través de las carpetas compartidas de la red.

Se aprovecha de la vulnerabilidad de IFRAME para ejecutarse sin que el usuario interfiere.

El e-mail tiene normalmente el siguiente formato:

Asunto o titulo de los mensajes :

Elige el asunto al azar desde la siguiente lista:

"Greets!"
"Get 8 FREE issues - no risk!"
"Hi!"
"Your News Alert"
"$150 FREE Bonus!"
"Re:"
"Your Gift"
"New bonus in your cash account"
"Tools For Your Online Business"
"Daily Email Reminder"
"News"
"free shipping!"
"its easy"
"Warning!"
"SCAM alert!!!"
"Sponsors needed"
"new reading"
"CALL FOR INFORMATION!"
"25 merchants and rising"
"Cows"
"My e Bay ads"
"empty account"
"Mark et Update Report"
"click on this!"
"fantastic"
"wow!"
"bad news"
"Lost & Found"
"New Contests"
"Today Only"
"Get a FREE gift!"
"Membership Confirmation"
"Report"
"Please Help..."
"Stats"
"I need help about script!!!"
"Interesting..."
"Introduction"
"various"
"Announcement"
"history screen"
"Correction of errors"
"Just a reminder"
"Payment notices"
"hmm.."
"update"
"Hello!"

o cualquier otro asunto que se encuentre en la base de datos de email.

Ficheros adjuntos:

Elegidos al azar desde la siguiente lista:
Setup,Card, Docs, news, image, images, pics, resume, photo, video, music, song, data

La segunda extension del fichero puede ser un: exe, scr o pif.

Cuando el gusano se envía a si mismo utilizando la información de otros emails que encuentra, el fichero adjunto puede tener una de las extensiones .exe, .scr o .pif.

Cuerpo del mensaje:
Puede ser cualquiera.

Una vez ejecutado el gusano verifica el mutex w32sharmur para ver si está en la memoria del sistema.
Si el mutex no existe, el virus se copia a si mismo en la carpeta de INICIO bajo un nombre elegido al azar con la extensión exe, y luego sale fuera.

Después de reiniciar el equipo el virus deja un fichero dll bajo un nombre elegido al azar que es un troyano keyloger . Esta dll se utiliza para capturar las teclas que se van presionando . También crea otros dos ficheros dll's que guardan la teclas capturadas en un formato encriptado.

Por otra parte crea un fichero tipo dat donde escribe información acerca de la configuración del sistema.

El gusano infecta los siguientes ficheros añadiendo su código viral al final del fichero objetivo y cambia el punto de entrada al código adjunto:

En la carpeta "Archivos de progama":

winzip\winzip32.exe
kazaa\kazaa.exe
ICQ\Icq.exe
DAP\DAP.exe
Winamp\winamp.exe
AIM95\aim.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
Trillian\Trillian.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
StreamCast\Morpheus\Morpheus.exe
QuickTime\QuickTimePlayer.exe
WS_FTP\WS_FTP95.exe
MSN Messenger\msnmsgr.exe
ACDSee32\ACDSee32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
CuteFTP\cutftp32.exe
Far\Far.exe
Outlook Express\msimn.exe
Real\RealPlayer\realplay.exe
Windows Media Player\mplayer2.exe
WinRAR\WinRAR.exe
adobe\acrobat 5.0\reader\acrord32.exe
Internet Explorer\iexplore.exe

En %windir% ( carpeta de Windows)

winhelp.exe
notepad.exe
hh.exe
mplaer.exe
regedit.exe
scandskw.exe

También cuando infecta los ficheros cambia el código de encriptación para que sea más difícil de detectar.

Cada 20 segundos el gusano verifica los programas activos y si encuentra alguno de la siguiente lista termina el proceso:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE

También se escribe a si mismo en las carpetas compartidas de la red bajo el nombre de setup.exe.

El gusano se envía a si mismo a través de email utilizando la configuración local del SMTP.

Recoge todas las direcciones de email desde ficheros que contengan la siguiente cadena:
.ODS, .INBOX, .MMF, .NCH, MBX, EML, DBX, INI

Si estos ficheros están presentes como base de datos del mail, tratará de encontrar los emails recibidos y les responde cambiando el fichero adjunto original con el cuerpo del virus añadiendo una de las siguientes extensiones: .exe, .scr, .pif.

Si los email no tienen ficheros adjuntos elige un nombre de la lista anteriormente mencionada o desde el disco duro del equipo infectado y lo añade al email.

El virus tiene también propiedades de backdoor y espera una conexión de tipo http por el puerto 1080.

Desinfección:

Desinfección automática:

1. Configure BitDefender para desinfectar / eliminar los ficheros infectados.
2. Descargue la herramienta de desifección gratuita Anti-BugBear.B.


El servicio gratuito de Alerta Virus de BitDefender ofrece a sus suscriptores las últimas noticias con respecto a las características de los nuevos virus, descripciones, síntomas, rutina de infección , riesgos de propagación, así como instrucciones avanzadas para la eliminación. Subscríbase gratis.

Para más informaciones acerca de nuestras herramientas de desinfección gratuitas le rogamos consulte http://www.bitdefender-es.com/html/tools_gratis.php.


Cursos relaccionados : Seguridad en Internet , Operador Internet I y II . 


Aprovecho esta oportunidad para saludarlos atentamente ,

Alan Maximilian
Profesor de seguridad en Internet de Red21.com .

Derechos reservados © 1998-2003 Red21.com

La empresa

Política de uso

Contáctanos