 |
 |
|
|
|
|
|
|
| Naam (type): |
| W32.BugBear.B@mm (Internet Worm) |
| Besturing: |
| Microsoft Windows |
| Datum: |
| 5 juni 2003 |
| Risico: |
| Hoog |
| Bron: |
| (c) 2003, VirusAlert |
| Aliassen: |
W32/Kijmo-mm
W32/Shamur-mm |
| Eigenschappen: |
[laatste update 6-6-2003]
In navolging van PandaSoftware, Symantec, Norman & McAfee heeft VirusAlert.nl het ontvangstrisico opgewaardeerd naar "HOOG".
Bugbear.B is nieuwe variant van BugBear.A. Het is een mass-mailer internetworm die zich onder sterk wisselende eigenschappen kan verspreiden. Tevens bezit het een backdoor component waardoor de virusschrijver c.q. hacker in staat is om creditcard-details en wachtwoorden opgeslagen op het systeem te ontvreemden.
Het maakt voor de verspreiding gebruik van e-mail. Doordat het virus gebruik maakt van het MIME-exploit in Outlook (Zie hieronder) kan het bij niet gepatchte systemen automatisch worden geactiveerd. (In andere gevallen kan het ge-activeerd worden door het bijlagebestand handmatig te openen.)
voorbeeld
Op het getroffen syteem is aanwezig het emailadres naam@mijnbedrijf.nl & roep@organisatie.nl
Het maakt dan een samenstel van deze twee adressen, bijvoorbeeld naam@organisatie.nl waar het zich vervolgens heen stuurt.
Nu hoeft het samengestelde adres niet werkelijk actief te zijn. Maar het zorgt sowieso voor grote overlast van mailservers.
Payload/Schade
* Spoofie-eigenschap: Het emailbericht wordt voorzien van een ander e-mailadres (FROM) dan die van het werkelijke (besmette) afzendadres/systeem.
Dit leidt tot veel verwarring: voorbeeldHet virus wordt vanaf systeem B verzonden, met afzendadres van A, naar bijv. een bedrijf, waar de mail automatisch wordt gescand. Deze mailscanner antwoord automatisch op het bericht in de gedachte A op de hoogte te brengen van de besmetting. Terwijl A niet de werkelijke zender is maar B!
* Uitschakeling van bepaalde security- c.q. antivirussoftware.
* Installatie van een backdoor component. (Toegang voor virusschrijver tot uw systeem.)
* Verspreiding op tamelijk intelligente wijze, waardoor herkenning lastig is.
* Installatie van een aantal bestanden op uw systeem, inclusief een verwijzing vanuit de registry.
* Doorzending van het virusbestand richting alle aanwezig berichten in "Postvak IN" & verzending naar andere in bestanden opgeslagen e-mailadressen.
* Het in staat om e-mailadressen wisselend samen te stellen o.b.v adresnamen en -domeinen. (zie voorbeeld hierboven)
* Het geeft lokale printers, evt. gedeeld binnen een netwerk, tal van vreemde opdrachten. Waaronder ook het printen van de inhoud van de virusbestanden.
Tip:
Twijfelt u aan een ontvangen e-mailbestand? Stuur het emailbericht dan gratis door (optie: doorsturen in mailprogramma) naar cleanport@virusalert.nl, u krijgt dan automatisch een rapport indien het een virus-mail is.
Wij adviseren voor u een bericht doorstuurt, eerst een patch van Microsoft te installeren (MIME-exploit). Een toelichting hierop vindt u onderstaand onder het kopje "preventieve maatregelen".
Eigenschappen van het e-mailbericht:
- Onderwerp: [wisselend, soms kiest het een onderwerp van in Outlook aanwezige berichten]
Bekend zijn:
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Correction of errors
Cows
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
GREETINGS!
Hello!
Hi!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
MBE Nottingham
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
News
Payment notices
Please Help...
Re: $150 FREE Bonus!
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
wow!
Your Gift
Your News Alert
- Tekst van het bericht: [wisselend, maar kunnen teksten bevatten met daarin een of meerdere van onderstaande woorden:]
Card
Docs
image
images
music
news
photo
pics
readme
resume
Setup
song
video
- Naam bijlagebestand: [varieert, altijd extensie; .exe, pif of .scr]
Wij adviseren voor u een bericht doorstuurt, eerst een patch van Microsoft te installeren (MIME-exploit). Een toelichting hierop vindt u onderstaand onder het kopje "preventieve maatregelen, punt 2".
|
|
|
|
|
Herkenning van besmetting:
|
1)- Installeer updates van uw antivirussoftware.
Alle business partners van VirusAlert hebben inmiddels updates beschikbaar,
klik hier.
2)- Installeer de patches van Microsoft tegen het zgh. MIME-exploit.
Deze "fout" in Microsoft Outlook/Explorer kan ervoor zorgen dat het bericht automatisch wordt geopend indien u het bekijkt in de voorbeeldweergave.
U kunt deze patch binnenhalen via de website van Microsoft. Daarbij wordt automatisch bepaald welke patches voor uw systeem relevant zijn.
klik hier.
Herkenning van besmetting:
Bestanden
1) Een copie van het bestand genoemd onder punt 1 wordt geplaatst in de standaard Windows-opstartdirectorie. (Waardoor het virus iedere keer na het starten van windows automatisch wordt geactiveerd.) Gebruikte bestandsaanduiding luidt "BSFS.exe"
2) Het virus nestelt zich in verschillende opstartbestanden (.exe) bekend is op dit moment infectie van de volgende programmabestanden:
hh.exe
mplayer.exe
notepad.exe
regedit.exe
scandskw.exe
winhelp.exe
ACDSee32\ACDSee32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
adobe\acrobat5.0\reader\acrord32.exe
AIM95\aim.exe
CuteFTP\cutftp32.exe
DAP\DAP.exe
Far\Far.exe
ICQ\Icq.exe
Internet Explorer\iexplore.exe
kazaa\kazaa.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
MSN Messenger\msnmsgr.exe
Outlook Express\msimn.exe
QuickTime\QuickTimePlayer.exe
Real\RealPlayer\realplay.exe
StreamCast\Morpheus\Morpheus.exe
Trillian\Trillian.exe
Winamp\winamp.exe
Windows Media Player\mplayer2.exe
WinRAR\WinRAR.exe
winzip\winzip32.exe
WS_FTP\WS_FTP95.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
Registry
Verwijzing naar het bestand genoemd onder punt 1).
Deze registry-sleutel luidt:
C:\WINDOWS\Start Menu\Programs\Startup\BSFS.EXE
OF:
C:\Documents and Settings\(username)\Start Menu\Programs\Startup\BSFS.EXE
Overige
Het virus de-activeert lopende processen van de volgende executables:
(Dit zijn de programmabestanden van o.a. AV-software. Het kijkt wel actief zijn en deze worden afgesloten. Daarmee schakelt het dus AV-software uit.)
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
- Vervolgens zendt het virus zich door naar alle berichten (als reply) in het "Postvak IN". Ook zoekt het naar e-mailadressen opgeslagen in bestanden met de extensie; .DBX, .EML, .NCH, .MMF & TBB waarnaar het zich ook doorstuurt.
|
|
|
Verwijder instructies:
|
Eenvoudig BugBear verwijderen
Gebruik de gratis een van onderstaande tools om de worm te verwijderen:
Symantec
PandaSoftware
McAfee
Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
De registry kunt u bekijken door te kiezen voor [start] -> [uitvoeren] -> regedit {enter}.
MIME-exploit
-Installeer preventief de juiste patches van Microsoft. Deze zorgen ervoor dat het mailtje bij binnenkomst niet in staat is om zichzelf te activeren en door te sturen. ga naar website.
|
|
Link:
|
TIP: Bescherm uw PC optimaal tegen virussen met McAfee Virusscan 7.0, Nederlandstalig.
VirusAlert.com De internationale versie van VirusAlert.
H2oevents.nl Op zoek naar een actief bedrijfsuitje?
MyAlert.nl (tip) Gratis opzegbrieven, abonnement beheer, kasboek en
|
| Advertentie: |
|
|
|
Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging. |
|
|
|
|
|
20
36/100