W32/BugBear.A@MM

Nombre:	W32/BugBear.A@MM Alias: W32.Bugbear@mm, W32/Bugbear-A, W32/Bugbear.A@mm, W32/Bugbear.worm, Win32.Bugbear, Worm/Tanatos, WORM_NATOSTA.A, W32/Tanat, I-Worm.Tanatos, Tanat, Tanatos
Tipo:	Gusano de E-mail / Redes compartidas Troyano espía (Backdoor)
Tamaño:	50,688 bytes
Origen:	Internet
Destructivo:	SI (roba contraseñas y envía información de la computadora)
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 5.3 al 30/09/2002.

Descripción:

W32/Bugbear.A@mm, es un gusano que se propaga vía E-mail y en redes locales a traves de recursos compartidos.

El gusano roba contraseñas de Windows y las envía a diferentes direcciones anónimas en Internet propiedad del creador del gusano..

El gusano utiliza una vulnerabilidad conocida en Internet Explorer 5 para activarse con solo visualizar el mensaje infectado (no es necesario abrir el archivo adjunto para infectarse).

Características de los mensajes de E-mail:

Asunto: Variable, el gusano utiliza asuntos al azar o extrae uno de la siguiente lista

-25 merchants and rising
-Announcement
-bad news
-CALL FOR INFORMATION!
-click on this!
-Correction of errors
-Cows
-Daily Email Reminder
-empty account
-fantastic
-free shipping!
-Get 8 FREE issues - no risk!
-Get a FREE gift!
-Greets!
-Hello!
-Hi!
-history screen
-hmm..
-I need help about script!!!
-Interesting...
-Introduction
-its easy
-Just a reminder

-Lost & Found
-Market Update Report
-Membership Confirmation
-My eBay ads
-New bonus in your cash account
-New Contests
-new reading
-News
-Payment notices
-Please Help...
-Re: $150 FREE Bonus!
-Report
-SCAM alert!!!
-Sponsors needed
-Stats
-Today Only
-Tools For Your Online Business
-update
-various
-Warning!
-wow!
-Your Gift
-Your News Alert

Cuerpo :Variable
Archivo Adjunto: : Variable, con doble extensión que termina en .EXE, .PIF o .SCR

------------------------------------------------------

El gusano se activa si el usuario abre el archivo adjunto o en forma automática si se utiliza Internet Explorer sin el parche de seguridad. Al activarse se copia así mismo en la carpeta del sistema con un nombre al azar que empieza con "F***.EXE".:

C:\WINDOWS\SYSTEM\F***.exe

Win95/98/ME: C:\WINDOWS\SYSTEM\FRTY.EXE
XP/2000/NT: C:\WINNT\SYSTEM32\FHJY.EXE

- Carpeta de Inicio con un nombre que empieza con "C**.EXE"

Win95/98/ME : C:\WINDOWS\Menú Inicio\Programas\Inicio\CUT.EXE
XP/2000/NT : C:\Documents and Settings\<usuario>\Menú Inicio\Programas\Inicio\CRE.EXE

- En la carpeta del sistema como :

C:\WINDOWS\SYSTEM\ICCYOA.DLL
C:\WINDOWS\SYSTEM\LGGUGAA.DLL
C:\WINDOWS\SYSTEM\ROOMUAA.DLL

- En la carpeta de Windows como :

C:\WINDOWS\OKKQSA.DAT
C:\WINDOWS\USSIWA.DAT

Además el gusano crea una entrada en el registro para ejecutarse en cada inicio del sistema

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

E-MAILS EN MASA:

Terminado el proceso de copia procede a enviar mensajes infectados a todos los E-mails posibles. El gusano captura los E-mails buscando en la bandeja de entrada y en los archivos con extensión MMF, NCH, MBX, EML, TBB, DBX.

Los mensajes infectados son creados de tal forma que exploten una vulnerabilidad en Internet Explorer y puedan infectar la computadora del receptor del mensaje con tan sólo visualizar el mensaje. Más Información de la vulnerabilidad en la web de Microsoft en la siguiente dirección: Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020)

PROPAGACION POR REDES:

El gusano verifica si tiene acceso a otras computadora por recursos compartidos como "C", "Mis Documentos", "WINNT', etc si se encuentra algún recurso se copia a la Carpeta de Inicio con un nombre que empieza con "C**.EXE" (Ej. CIU.EXE, CRT.EXE)

Win95/98/ME: C:\Windows\Menú Inicio\Programas\Inicio\CUT.EXE
XP/2000/NT: C:\Documents and Settings\<usuario>\Menú Inicio\Programas\Inicio\CRE.EXE

TROYANO / BACKDOOR / ESPIA

El gusano crea un archivo espía o Backdoor que permite controlar la computadora remotamente, el gusano abre el puerto 36794 y actua como un servidor recibiendo instrucciones para abrir, borrar, mover, envíar, recibir, copiar, ejecutar archivos entre otras operaciones.

ROBO DE INFORMACION / CONTRASEÑAS

El gusano tiene una rutina que envía los password del usuario e información del sistema a diferentes E-mails en servidores gratuitos.

ELIMINACION DE PROCESOS

Para evitar su detección, el gusano W32/Bugbear termina los siguiente procesos en memoria pertenecientes a algunos antivirus y Firewalls:

ACKWIN32.EXE
F-AGNT95.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE

FINDVIRU.EXE
FPROT.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
SPHINX.EXE
F-STOPW.EXE

SWEEP95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
F-PROT.EXE
F-PROT95.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
TBSCAN.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE