© Virusalert schaal

  • Innovatie: 55
  • Besturing: 60
  • Logistiek: 65
  • Schade: 25
  • Schaal: 51
  • Aanduiding: zeer gevaarlijk

W32.Bugbear-A (Tanatos)

  • Type overig
  • Besturingssysteem Microsoft Windows
  • Risico hoog
  • Bron (c) 2002, VirusAlert
  • Alias Tanat Tanatos W32/Bugbear.A@mm W32/Tanat W32.Tanatos
  • Preventie 1)- Installeer updates van uw antivirussoftware. Alle business partners van VirusAlert hebben inmiddels updates beschikbaar, klik hier. 2)- Installeer de patches van Microsoft tegen het zgh. MIME-exploit. Deze "fout" in Microsoft Outlook/Explorer kan ervoor zorgen dat het bericht automatisch wordt geopend indien u het bekijkt in de voorbeeldweergave. U kunt deze patch binnenhalen via de website van Microsoft. Daarbij wordt automatisch bepaald welke patches voor uw systeem relevant zijn. klik hier. Herkenning van besmetting: Bestanden 1) Het virus plaatst zich in een vierletterige bestandsnaam, met extensie .EXE in de standaard Windows-sytem directorie. (Meestal C:\Windows\System). De vierletterige bestandsnaam is volstrekt willekeurig van samenstelling. 2) Een copie van het bestand genoemd onder punt 1 wordt geplaatst in de standaard Windows-opstartdirectorie. (Waardoor het virus iedere keer na het starten van windows automatisch wordt geactiveerd.) 3) Het plaatst een 5-tal, .DLL bestanden op uw systeem (Deze bevatten de backdoor-code) Deze worden allen geplaatst in de standaard Windows\System directorie. (Meestal C:\Windows\System) De virusschrijver krijgt vervolgens toegang tot het systeem via TCP poort 36794. -iccyoa.dll -lgguqaa.dll -roomuaa.dll -okkqsa.dat -ussiwa.dat Registry Verwijzing naar het bestand genoemd onder punt 1). Deze registry-sleutel luidt: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce Overige Het virus de-activeert lopende processen van de volgende executables: (Dit zijn de programmabestanden van o.a. AV-software. Het kijkt wel actief zijn en deze worden afgesloten. Daarmee schakelt het dus AV-software uit.) _AVP32.EXE _AVPCC.EXE _AVPM.EXE ACKWIN32.EXE ANTI-TROJAN.EXE APVXDWIN.EXE AUTODOWN.EXE AVCONSOL.EXE AVE32.EXE AVGCTRL.EXE AVKSERV.EXE AVNT.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPDOS32.EXE AVPM.EXE AVPTC32.EXE AVPUPD.EXE AVSCHED32.EXE AVWIN95.EXE AVWUPD32.EXE BLACKD.EXE BLACKICE.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET.EXE CFINET32.EXE CLAW95.EXE CLAW95CF.EXE CLEANER.EXE CLEANER3.EXE DVP95.EXE DVP95_0.EXE ECENGINE.EXE ESAFE.EXE ESPWATCH.EXE F-AGNT95.EXE FINDVIRU.EXE FPROT.EXE F-PROT.EXE F-PROT95.EXE FP-WIN.EXE FRW.EXE F-STOPW.EXE IAMAPP.EXE IAMSERV.EXE IBMASN.EXE IBMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSUPP95.EXE ICSUPPNT.EXE IFACE.EXE IOMON98.EXE JEDI.EXE LOCKDOWN2000.EXE LOOKOUT.EXE LUALL.EXE MOOLIVE.EXE MPFTRAY.EXE N32SCANW.EXE NAVAPW32.EXE NAVLU32.EXE NAVNT.EXE NAVW32.EXE NAVWNT.EXE NISUM.EXE NMAIN.EXE NORMIST.EXE NUPGRADE.EXE NVC95.EXE OUTPOST.EXE PADMIN.EXE PAVCL.EXE PAVSCHED.EXE PAVW.EXE PCCWIN98.EXE PCFWALLICON.EXE PERSFW.EXE RAV7.EXE RAV7WIN.EXE RESCUE.EXE SAFEWEB.EXE SCAN32.EXE SCAN95.EXE SCANPM.EXE SCRSCAN.EXE SERV95.EXE SMC.EXE SPHINX.EXE SWEEP95.EXE TBSCAN.EXE TCA.EXE TDS2-98.EXE TDS2-NT.EXE VET95.EXE VETTRAY.EXE VSCAN40.EXE VSECOMR.EXE VSHWIN32.EXE VSSTAT.EXE WEBSCANX.EXE WFINDV32.EXE ZONEALARM.EXE - Vervolgens zendt het virus zich door naar alle berichten (als reply) in het "Postvak IN". Ook zoekt het naar e-mailadressen opgeslagen in bestanden met de extensie; .DBX, .EML, .NCH, .MMF & TBB waarnaar het zich ook doorstuurt.
  • Verwijderinstructie Eenvoudig BugBear verwijderen Gebruik een van de gratis tools; van Symantec, Sophos, McAfee of Bitdefender. U kunt deze tools eenvoudig downloaden en installeren. Binnen 5 minuten weet u of uw systeem is geinfecteerd. Alle 4 de tools verwijderen het virus volledig. U vindt alle 4 de tools op de linkpagina van VirusAlert.nl onder het kopje "antivirus-verwijderingstools", klik hier. Aanpassen van de registry? Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten. De registry kunt u bekijken door te kiezen voor [start] -> [uitvoeren] -> regedit {enter}. MIME-exploit -Installeer preventief de juiste patches van Microsoft. Deze zorgen ervoor dat het mailtje bij binnenkomst niet in staat is om zichzelf te activeren en door te sturen. Zie Windows-Update, hieronder.

Bugbear is een mass-mailer internetworm die zich onder sterk wisselende eigenschappen kan verspreiden. Tevens bezit het een backdoor component waardoor de virusschrijver c.q. hacker in staat is om creditcard-details en wachtwoorden opgeslagen op het systeem te ontvreemden.
Het maakt voor de verspreiding gebruik van e-mail. Doordat het virus gebruik maakt van het MIME-exploit in Outlook (Zie hieronder) kan het bij niet gepatchte systemen automatisch worden geactiveerd. (In andere gevallen kan het ge-activeerd worden door het bijlagebestand handmatig te openen.)

Toevoeging 02-10-2002 20.59
Opwaardering van risico van medium naar high-risk, inclusief factor logistiek. De factor innovatie is opgehoogd van 41 naar 55.
Vast komen te staan is dat BugBear in staat is om op basis van verschillende e-mailadresnamen en -domeinen weer nieuwe adressen te maken. Vervolgens stuurt het zich hier naar toe.

voorbeeld
Op het getroffen syteem is aanwezig het emailadres naam@mijnbedrijf.nl & roep@organisatie.nl
Het maakt dan een samenstel van deze twee adressen, bijvoorbeeld naam@organisatie.nl waar het zich vervolgens heen stuurt.
Nu hoeft het samengestelde adres niet werkelijk actief te zijn. Maar het zorgt sowieso voor grote overlast van mailservers.

Payload/Schade
* Spoofie-eigenschap: Het emailbericht wordt voorzien van een ander e-mailadres (FROM) dan die van het werkelijke (besmette) afzendadres/systeem.

Dit leidt tot veel verwarring: voorbeeldHet virus wordt vanaf systeem B verzonden, met afzendadres van A, naar bijv. een bedrijf, waar de mail automatisch wordt gescand. Deze mailscanner antwoord automatisch op het bericht in de gedachte A op de hoogte te brengen van de besmetting. Terwijl A niet de werkelijke zender is maar B!
* Uitschakeling van bepaalde security- c.q. antivirussoftware.
* Installatie van een backdoor component. (Toegang voor virusschrijver tot uw systeem.)
* Verspreiding op tamelijk intelligente wijze, waardoor herkenning lastig is.
* Installatie van een aantal bestanden op uw systeem, inclusief een verwijzing vanuit de registry.
* Doorzending van het virusbestand richting alle aanwezig berichten in “Postvak IN” & verzending naar andere in bestanden opgeslagen e-mailadressen.
* Het in staat om e-mailadressen wisselend samen te stellen o.b.v adresnamen en -domeinen. (zie voorbeeld hierboven)
* Het geeft lokale printers, evt. gedeeld binnen een netwerk, tal van vreemde opdrachten. Waaronder ook het printen van de inhoud van de virusbestanden.

Eigenschappen van het e-mailbericht:

– Onderwerp: [wisselend, soms kiest het een onderwerp van in Outlook aanwezige berichten]

– Tekst van het bericht: [idem]

– Naam bijlagebestand: [wisselend, dit bestand is wel altijd 50.688 bytes groot, meestal zitten er twee extensies aan het bestand. Voor gebruikers lijkt het dan bijvoorbeeld een normaal Word-document of plaatje, met extensie .doc of .jpeg. In werkelijkheid zit er nog een tweede extensie bijv. .pif of .scr welke ervoor zorgt dat het virusbestand wordt aangeroepen.

Tip:
Twijfelt u aan een ontvangen e-mailbestand? Stuur het emailbericht dan gratis door (optie: doorsturen in mailprogramma) naar cleanport@virusalert.nl, u krijgt dan automatisch een rapport indien het een virus-mail is.
Wij adviseren voor u een bericht doorstuurt, eerst een patch van Microsoft te installeren (MIME-exploit). Een toelichting hierop vindt u onderstaand onder het kopje “preventieve maatregelen, punt 2”.

Update:ad Onderwerp:

Bekend is inmiddels het gebruik van ondermeer de volgende onderwerpsaanduidingen:

$150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Confirmation of Recipes…
Correction of errors
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues – no risk!
Get a FREE gift!
Greets!
history screen
hmm..
I need help about script!!!
Interesting…
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
Payment notices
Please Help…
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
Your Gift
Your News Alert

Alert is verzonden via VABP.nl, klik hier voor meer informatie.