W32/BugBear.B@MM

Nombre:	W32/BugBear.B@MM Alias: Win32.Bugbear.B, W32/Bugbear.b@MM
Tipo:	Gusano de E-mail / Redes compartidas Troyano espía.
Tamaño:	72,192 bytes
Origen:	Internet
Destructivo:	SI (roba contraseñas y envía información de la computadora)
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 5.5, 5.4, Registro de Virus al 05/06/2003 a las 9:44am o posterior MUY IMPORTANTE: Si utiliza el registro del 05/06/2003 asegúrese que es de las 9:44am o posterior, registros entre 00:00am-9:43am no tienen incluído detección de este gusano.

Descripción:

W32/Bugbear.B@mm, es un gusano que se propaga vía E-mail y en redes locales a través de recursos compartidos. Este gusano infecta archivos ejecutables e intenta finalizar todos los procesos de antivirus y firewalls en el computador infectado.

Este gusano utiliza la falla "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability", con esta falla Microsoft Internet Explorer 5.01 o 5.5 sin SP2 ejecuta el archivo adjunto en forma automática, el parche se encuentra en: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Características de los mensajes de E-mail:

Asunto: Variable, el gusano utiliza asuntos al azar o extrae uno de la siguiente lista

Hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
wow!
fantastic
click on this!

Tools For Your Online Business

New bonus in your cash account

Get 8 FREE issues - no risk!

25 merchants and rising

CALL FOR INFORMATION!

new reading

Sponsors needed

SCAM alert!!!

Cuerpo :Variable
Archivo Adjunto: Variable, con doble extensión que termina en .EXE, .PIF o .SCR

Además adiciona al nombre del archivo alguna de las siguientes palabras:

readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data

------------------------------------------------------

En sistemas con Windows 95/98/Me, cuando el gusano se ejecuta se copia así mismo como:

C:\WINDOWS\Start Menu\Programs\Startup\<un nombre cualquiera de tres caracteres>.exe

C:\WINDOWS\Menú Inicio\Programas\Inicio\<un nombre cualquiera de tres caracteres>.exe

En sistemas con Windows NT/2000/XP, cuando el gusano se ejecuta se copia así mismo como:

C:\Documents and Settings\<usuario>\Start Menu\Programs\Startup\<un nombre cualquiera>.exe

C:\Documents and Settings\<usuario>\Menú Inicio\Programas\Inicio\<un nombre cualquiera>.exe

Este gusano es polimorfico e infecta a los siguientes archivos ejecutables:

scandskw.exe
regedit.exe
mplayer.exe
hh.exe
notepad.exe
winhelp.exe
iexplore.exe
acrord32.exe
WinRAR.exe
mplayer2.exe
realplay.exe
msimn.exe
Far.exe
cutftp32.exe
AcroRd32.exe
ACDSee32.exe
msnmsgr.exe
WS_FTP95.exe
QuickTimePlayer.exe
Morpheus.exe
ZoneAlarm.exe
Trillian.exe
Ad-aware.exe
aim.exe
winamp.exe
DAP.exe
Icq.exe
kazaa.exe
winzip32.exe

E-MAILS EN MASA:

Terminado el proceso de copia procede a enviar mensajes infectados a todos los E-mails posibles. El gusano captura los E-mails buscando en la bandeja de entrada y en los archivos con extensión MMF, NCH, MBX, EML, TBB, DBX, OCS.

Los mensajes infectados son creados de tal forma que exploten una vulnerabilidad en Internet Explorer y puedan infectar la computadora del receptor del mensaje con tan sólo visualizar el mensaje. Más Información de la vulnerabilidad en la web de Microsoft en la siguiente dirección: Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020)

TROYANO / BACKDOOR / ESPIA

El gusano crea un archivo espía o Backdoor que permite controlar la computadora remotamente, el gusano abre el puerto 1080 y actua como un servidor recibiendo instrucciones para abrir, borrar, mover, envíar, recibir, copiar, ejecutar archivos entre otras operaciones.

ROBO DE INFORMACION / CONTRASEÑAS

El gusano tiene una rutina que envía los password del usuario e información del sistema a diferentes E-mails en servidores gratuitos.

ELIMINACION DE PROCESOS

Para evitar su detección, el gusano W32/Bugbear.B@MM termina los siguiente procesos en memoria pertenecientes a algunos antivirus y Firewalls:

AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
BLACKICE.EXE
BLACKD.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
DVP95_0.EXE
DVP95.EXE
ESPWATCH.EXE

ESAFE.EXE
ECENGINE.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
JEDI.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
MPFTRAY.EXE
MOOLIVE.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE

NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EOUTPOST.EXE
PERSFW.EXE
PCFWALLICON.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
WFINDV32.EXE
WEBSCANX.EXE
ZONEALARM.EXE