© Virusalert schaal

  • Innovatie: 20
  • Besturing: 60
  • Logistiek: 35
  • Schade: 31
  • Schaal: 37
  • Aanduiding: gevaarlijk

W32.BugBear.B@mm

  • Type internet worm
  • Besturingssysteem Microsoft Windows
  • Risico hoog
  • Bron (c) 2003, VirusAlert
  • Alias W32/Kijmo-mm W32/Shamur-mm
  • Preventie 1)- Installeer updates van uw antivirussoftware. Alle business partners van VirusAlert hebben inmiddels updates beschikbaar, klik hier. 2)- Installeer de patches van Microsoft tegen het zgh. MIME-exploit. Deze "fout" in Microsoft Outlook/Explorer kan ervoor zorgen dat het bericht automatisch wordt geopend indien u het bekijkt in de voorbeeldweergave. U kunt deze patch binnenhalen via de website van Microsoft. Daarbij wordt automatisch bepaald welke patches voor uw systeem relevant zijn. klik hier. Herkenning van besmetting: Bestanden 1) Een copie van het bestand genoemd onder punt 1 wordt geplaatst in de standaard Windows-opstartdirectorie. (Waardoor het virus iedere keer na het starten van windows automatisch wordt geactiveerd.) Gebruikte bestandsaanduiding luidt "BSFS.exe" 2) Het virus nestelt zich in verschillende opstartbestanden (.exe) bekend is op dit moment infectie van de volgende programmabestanden: hh.exe mplayer.exe notepad.exe regedit.exe scandskw.exe winhelp.exe ACDSee32\ACDSee32.exe Adobe\Acrobat 4.0\Reader\AcroRd32.exe adobe\acrobat5.0\reader\acrord32.exe AIM95\aim.exe CuteFTP\cutftp32.exe DAP\DAP.exe Far\Far.exe ICQ\Icq.exe Internet Explorer\iexplore.exe kazaa\kazaa.exe Lavasoft\Ad-aware 6\Ad-aware.exe MSN Messenger\msnmsgr.exe Outlook Express\msimn.exe QuickTime\QuickTimePlayer.exe Real\RealPlayer\realplay.exe StreamCast\Morpheus\Morpheus.exe Trillian\Trillian.exe Winamp\winamp.exe Windows Media Player\mplayer2.exe WinRAR\WinRAR.exe winzip\winzip32.exe WS_FTP\WS_FTP95.exe Zone Labs\ZoneAlarm\ZoneAlarm.exe Registry Verwijzing naar het bestand genoemd onder punt 1). Deze registry-sleutel luidt: C:\WINDOWS\Start Menu\Programs\Startup\BSFS.EXE OF: C:\Documents and Settings\(username)\Start Menu\Programs\Startup\BSFS.EXE Overige Het virus de-activeert lopende processen van de volgende executables: (Dit zijn de programmabestanden van o.a. AV-software. Het kijkt wel actief zijn en deze worden afgesloten. Daarmee schakelt het dus AV-software uit.) _AVP32.EXE _AVPCC.EXE _AVPM.EXE ACKWIN32.EXE ANTI-TROJAN.EXE APVXDWIN.EXE AUTODOWN.EXE AVCONSOL.EXE AVE32.EXE AVGCTRL.EXE AVKSERV.EXE AVNT.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPDOS32.EXE AVPM.EXE AVPTC32.EXE AVPUPD.EXE AVSCHED32.EXE AVWIN95.EXE AVWUPD32.EXE BLACKD.EXE BLACKICE.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET.EXE CFINET32.EXE CLAW95.EXE CLAW95CF.EXE CLEANER.EXE CLEANER3.EXE DVP95.EXE DVP95_0.EXE ECENGINE.EXE ESAFE.EXE ESPWATCH.EXE F-AGNT95.EXE FINDVIRU.EXE FPROT.EXE F-PROT.EXE F-PROT95.EXE FP-WIN.EXE FRW.EXE F-STOPW.EXE IAMAPP.EXE IAMSERV.EXE IBMASN.EXE IBMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSUPP95.EXE ICSUPPNT.EXE IFACE.EXE IOMON98.EXE JEDI.EXE LOCKDOWN2000.EXE LOOKOUT.EXE LUALL.EXE MOOLIVE.EXE MPFTRAY.EXE N32SCANW.EXE NAVAPW32.EXE NAVLU32.EXE NAVNT.EXE NAVW32.EXE NAVWNT.EXE NISUM.EXE NMAIN.EXE NORMIST.EXE NUPGRADE.EXE NVC95.EXE OUTPOST.EXE PADMIN.EXE PAVCL.EXE PAVSCHED.EXE PAVW.EXE PCCWIN98.EXE PCFWALLICON.EXE PERSFW.EXE RAV7.EXE RAV7WIN.EXE RESCUE.EXE SAFEWEB.EXE SCAN32.EXE SCAN95.EXE SCANPM.EXE SCRSCAN.EXE SERV95.EXE SMC.EXE SPHINX.EXE SWEEP95.EXE TBSCAN.EXE TCA.EXE TDS2-98.EXE TDS2-NT.EXE VET95.EXE VETTRAY.EXE VSCAN40.EXE VSECOMR.EXE VSHWIN32.EXE VSSTAT.EXE WEBSCANX.EXE WFINDV32.EXE ZONEALARM.EXE - Vervolgens zendt het virus zich door naar alle berichten (als reply) in het "Postvak IN". Ook zoekt het naar e-mailadressen opgeslagen in bestanden met de extensie; .DBX, .EML, .NCH, .MMF & TBB waarnaar het zich ook doorstuurt.
  • Verwijderinstructie Eenvoudig BugBear verwijderen Gebruik de gratis een van onderstaande tools om de worm te verwijderen: Symantec PandaSoftware McAfee Aanpassen van de registry? Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten. De registry kunt u bekijken door te kiezen voor [start] -> [uitvoeren] -> regedit {enter}. MIME-exploit -Installeer preventief de juiste patches van Microsoft. Deze zorgen ervoor dat het mailtje bij binnenkomst niet in staat is om zichzelf te activeren en door te sturen. ga naar website.

[laatste update 6-6-2003]
In navolging van PandaSoftware, Symantec, Norman & McAfee heeft VirusAlert.nl het ontvangstrisico opgewaardeerd naar “HOOG”.

Bugbear.B is nieuwe variant van BugBear.A. Het is een mass-mailer internetworm die zich onder sterk wisselende eigenschappen kan verspreiden. Tevens bezit het een backdoor component waardoor de virusschrijver c.q. hacker in staat is om creditcard-details en wachtwoorden opgeslagen op het systeem te ontvreemden.
Het maakt voor de verspreiding gebruik van e-mail. Doordat het virus gebruik maakt van het MIME-exploit in Outlook (Zie hieronder) kan het bij niet gepatchte systemen automatisch worden geactiveerd. (In andere gevallen kan het ge-activeerd worden door het bijlagebestand handmatig te openen.)

voorbeeld
Op het getroffen syteem is aanwezig het emailadres naam@mijnbedrijf.nl & roep@organisatie.nl
Het maakt dan een samenstel van deze twee adressen, bijvoorbeeld naam@organisatie.nl waar het zich vervolgens heen stuurt.
Nu hoeft het samengestelde adres niet werkelijk actief te zijn. Maar het zorgt sowieso voor grote overlast van mailservers.

Payload/Schade
* Spoofie-eigenschap: Het emailbericht wordt voorzien van een ander e-mailadres (FROM) dan die van het werkelijke (besmette) afzendadres/systeem.

Dit leidt tot veel verwarring: voorbeeldHet virus wordt vanaf systeem B verzonden, met afzendadres van A, naar bijv. een bedrijf, waar de mail automatisch wordt gescand. Deze mailscanner antwoord automatisch op het bericht in de gedachte A op de hoogte te brengen van de besmetting. Terwijl A niet de werkelijke zender is maar B!
* Uitschakeling van bepaalde security- c.q. antivirussoftware.
* Installatie van een backdoor component. (Toegang voor virusschrijver tot uw systeem.)
* Verspreiding op tamelijk intelligente wijze, waardoor herkenning lastig is.
* Installatie van een aantal bestanden op uw systeem, inclusief een verwijzing vanuit de registry.
* Doorzending van het virusbestand richting alle aanwezig berichten in “Postvak IN” & verzending naar andere in bestanden opgeslagen e-mailadressen.
* Het in staat om e-mailadressen wisselend samen te stellen o.b.v adresnamen en -domeinen. (zie voorbeeld hierboven)
* Het geeft lokale printers, evt. gedeeld binnen een netwerk, tal van vreemde opdrachten. Waaronder ook het printen van de inhoud van de virusbestanden.

Tip:
Twijfelt u aan een ontvangen e-mailbestand? Stuur het emailbericht dan gratis door (optie: doorsturen in mailprogramma) naar cleanport@virusalert.nl, u krijgt dan automatisch een rapport indien het een virus-mail is.
Wij adviseren voor u een bericht doorstuurt, eerst een patch van Microsoft te installeren (MIME-exploit). Een toelichting hierop vindt u onderstaand onder het kopje “preventieve maatregelen”.

Eigenschappen van het e-mailbericht:

– Onderwerp: [wisselend, soms kiest het een onderwerp van in Outlook aanwezige berichten]
Bekend zijn:
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Correction of errors
Cows
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues – no risk!
Get a FREE gift!
Greets!
GREETINGS!
Hello!
Hi!
history screen
hmm..
I need help about script!!!
Interesting…
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
MBE Nottingham
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
News
Payment notices
Please Help…
Re: $150 FREE Bonus!
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
wow!
Your Gift
Your News Alert

– Tekst van het bericht: [wisselend, maar kunnen teksten bevatten met daarin een of meerdere van onderstaande woorden:]
Card
Docs
image
images
music
news
photo
pics
readme
resume
Setup
song
video

– Naam bijlagebestand: [varieert, altijd extensie; .exe, pif of .scr]

Wij adviseren voor u een bericht doorstuurt, eerst een patch van Microsoft te installeren (MIME-exploit). Een toelichting hierop vindt u onderstaand onder het kopje “preventieve maatregelen, punt 2”.