 |
 |
|
|
|
|
|
|
| Naam (type): |
| W32.Bugbear-A (Tanatos) (Overig) |
| Besturing: |
| Microsoft Windows |
| Datum: |
| 30 september 2002 |
| Risico: |
| Hoog |
| Bron: |
| (c) 2002, VirusAlert |
| Aliassen: |
Tanat
Tanatos
W32/Bugbear.A@mm
W32/Tanat
W32.Tanatos |
| Eigenschappen: |
Bugbear is een mass-mailer internetworm die zich onder sterk wisselende eigenschappen kan verspreiden. Tevens bezit het een backdoor component waardoor de virusschrijver c.q. hacker in staat is om creditcard-details en wachtwoorden opgeslagen op het systeem te ontvreemden.
Het maakt voor de verspreiding gebruik van e-mail. Doordat het virus gebruik maakt van het MIME-exploit in Outlook (Zie hieronder) kan het bij niet gepatchte systemen automatisch worden geactiveerd. (In andere gevallen kan het ge-activeerd worden door het bijlagebestand handmatig te openen.)
Toevoeging 02-10-2002 20.59
Opwaardering van risico van medium naar high-risk, inclusief factor logistiek. De factor innovatie is opgehoogd van 41 naar 55.
Vast komen te staan is dat BugBear in staat is om op basis van verschillende e-mailadresnamen en -domeinen weer nieuwe adressen te maken. Vervolgens stuurt het zich hier naar toe.
voorbeeld
Op het getroffen syteem is aanwezig het emailadres naam@mijnbedrijf.nl & roep@organisatie.nl
Het maakt dan een samenstel van deze twee adressen, bijvoorbeeld naam@organisatie.nl waar het zich vervolgens heen stuurt.
Nu hoeft het samengestelde adres niet werkelijk actief te zijn. Maar het zorgt sowieso voor grote overlast van mailservers.
Payload/Schade
* Spoofie-eigenschap: Het emailbericht wordt voorzien van een ander e-mailadres (FROM) dan die van het werkelijke (besmette) afzendadres/systeem.
Dit leidt tot veel verwarring: voorbeeldHet virus wordt vanaf systeem B verzonden, met afzendadres van A, naar bijv. een bedrijf, waar de mail automatisch wordt gescand. Deze mailscanner antwoord automatisch op het bericht in de gedachte A op de hoogte te brengen van de besmetting. Terwijl A niet de werkelijke zender is maar B!
* Uitschakeling van bepaalde security- c.q. antivirussoftware.
* Installatie van een backdoor component. (Toegang voor virusschrijver tot uw systeem.)
* Verspreiding op tamelijk intelligente wijze, waardoor herkenning lastig is.
* Installatie van een aantal bestanden op uw systeem, inclusief een verwijzing vanuit de registry.
* Doorzending van het virusbestand richting alle aanwezig berichten in "Postvak IN" & verzending naar andere in bestanden opgeslagen e-mailadressen.
* Het in staat om e-mailadressen wisselend samen te stellen o.b.v adresnamen en -domeinen. (zie voorbeeld hierboven)
* Het geeft lokale printers, evt. gedeeld binnen een netwerk, tal van vreemde opdrachten. Waaronder ook het printen van de inhoud van de virusbestanden.
Eigenschappen van het e-mailbericht:
- Onderwerp: [wisselend, soms kiest het een onderwerp van in Outlook aanwezige berichten]
- Tekst van het bericht: [idem]
- Naam bijlagebestand: [wisselend, dit bestand is wel altijd 50.688 bytes groot, meestal zitten er twee extensies aan het bestand. Voor gebruikers lijkt het dan bijvoorbeeld een normaal Word-document of plaatje, met extensie .doc of .jpeg. In werkelijkheid zit er nog een tweede extensie bijv. .pif of .scr welke ervoor zorgt dat het virusbestand wordt aangeroepen.
Tip:
Twijfelt u aan een ontvangen e-mailbestand? Stuur het emailbericht dan gratis door (optie: doorsturen in mailprogramma) naar cleanport@virusalert.nl, u krijgt dan automatisch een rapport indien het een virus-mail is.
Wij adviseren voor u een bericht doorstuurt, eerst een patch van Microsoft te installeren (MIME-exploit). Een toelichting hierop vindt u onderstaand onder het kopje "preventieve maatregelen, punt 2".
Update:ad Onderwerp:
Bekend is inmiddels het gebruik van ondermeer de volgende onderwerpsaanduidingen:
$150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Confirmation of Recipes…
Correction of errors
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
Payment notices
Please Help...
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
Your Gift
Your News Alert
Alert is verzonden via VABP.nl, klik hier voor meer informatie.
|
|
|
© VirusAlert schaal
|
|
|
|
|
Herkenning van besmetting:
|
1)- Installeer updates van uw antivirussoftware.
Alle business partners van VirusAlert hebben inmiddels updates beschikbaar,
klik hier.
2)- Installeer de patches van Microsoft tegen het zgh. MIME-exploit.
Deze "fout" in Microsoft Outlook/Explorer kan ervoor zorgen dat het bericht automatisch wordt geopend indien u het bekijkt in de voorbeeldweergave.
U kunt deze patch binnenhalen via de website van Microsoft. Daarbij wordt automatisch bepaald welke patches voor uw systeem relevant zijn.
klik hier.
Herkenning van besmetting:
Bestanden
1) Het virus plaatst zich in een vierletterige bestandsnaam, met extensie .EXE in de standaard Windows-sytem directorie. (Meestal C:\Windows\System). De vierletterige bestandsnaam is volstrekt willekeurig van samenstelling.
2) Een copie van het bestand genoemd onder punt 1 wordt geplaatst in de standaard Windows-opstartdirectorie. (Waardoor het virus iedere keer na het starten van windows automatisch wordt geactiveerd.)
3) Het plaatst een 5-tal, .DLL bestanden op uw systeem (Deze bevatten de backdoor-code) Deze worden allen geplaatst in de standaard Windows\System directorie. (Meestal C:\Windows\System)
De virusschrijver krijgt vervolgens toegang tot het systeem via TCP poort 36794.
-iccyoa.dll
-lgguqaa.dll
-roomuaa.dll
-okkqsa.dat
-ussiwa.dat
Registry
Verwijzing naar het bestand genoemd onder punt 1).
Deze registry-sleutel luidt:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Overige
Het virus de-activeert lopende processen van de volgende executables:
(Dit zijn de programmabestanden van o.a. AV-software. Het kijkt wel actief zijn en deze worden afgesloten. Daarmee schakelt het dus AV-software uit.)
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
- Vervolgens zendt het virus zich door naar alle berichten (als reply) in het "Postvak IN". Ook zoekt het naar e-mailadressen opgeslagen in bestanden met de extensie; .DBX, .EML, .NCH, .MMF & TBB waarnaar het zich ook doorstuurt.
|
|
|
Verwijder instructies:
|
Eenvoudig BugBear verwijderen
Gebruik een van de gratis tools; van Symantec, Sophos, McAfee of Bitdefender.
U kunt deze tools eenvoudig downloaden en installeren. Binnen 5 minuten weet u of uw systeem is geinfecteerd. Alle 4 de tools verwijderen het virus volledig.
U vindt alle 4 de tools op de linkpagina van VirusAlert.nl onder het kopje "antivirus-verwijderingstools", klik hier.
Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
De registry kunt u bekijken door te kiezen voor [start] -> [uitvoeren] -> regedit {enter}.
MIME-exploit
-Installeer preventief de juiste patches van Microsoft. Deze zorgen ervoor dat het mailtje bij binnenkomst niet in staat is om zichzelf te activeren en door te sturen. Zie Windows-Update, hieronder.
|
|
Link:
|
Alle antivirussoftware die u direct beschermt tegen het w32.Bugbear-virus vindt u hier...
Update Windows eenvoudig via deze Microsoft-pagina.
VirusAlert.com De internationale versie van VirusAlert.
H2oevents.nl Op zoek naar een actief bedrijfsuitje?
MyAlert.nl (tip) Gratis opzegbrieven, abonnement beheer, kasboek en
|
| Advertentie: |
|
|
|
Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging. |
|
|
|
|
|
55
51/100