Sophos

W32/Bugbear-B

Alias
  • Bugbear.B
  • I-Worm.Tanatos.b
Categoría
Tipo
Qué hacer
Prevalencia baja alta

Resumen

 
Sistemas operativos vulnerables Windows
Protección disponible desde 28 de septiembre de 2003 09:46:43 (GMT)
Detectado por Todos los productos de Sophos

Acción

Vea la información para eliminar gusanos.

Windows NT/2000

Cierre la sesión actual e inicie una sesión como administrador.

Detenga el proceso del virus.

  • Pulse la combinación de teclas Control-Alt-Sup.

  • Haga clic sobre 'Administrador de tareas' y seleccione la ficha 'Procesos'.

  • Busque un proceso con nombre aleatorio de cuatro letras (no SMSS.EXE).

  • Seleccione el proceso y haga clic sobre el botón 'Terminar proceso'.
A continuación, siga las instrucciones (en inglés) para desinfectar archivos ejecutables PE.

Si no consigue erradicar el virus, contacte con soporte técnico de Sophos.

Windows 95/98/Me

Si Sophos Anti-Virus no está instalado en su equipo, siga las instrucciones (en inglés) para desinfectar archivos ejecutables PE.

Si Sophos Anti-Virus está instalado en su equipo, copie el archivo IDE para W32/Bugbear-B en el directorio C:\Archivos de programa\Sophos SWEEP y reinicie el sistema en modo MS-DOS.

  • En Windows 95/98, ejecute el comando Apagar el sistema del menú Inicio, seleccione la opción 'reiniciar en modo MS-DOS' y haga clic sobre Aceptar.

  • En Windows Me, cree un disco de inicio y utilícelo para iniciar el sistema. Ejecute el comando Inicio|Configuración|Panel de control. Haga clic sobre 'Agregar o quitar programas', seleccione la ficha 'Disco de inicio' y haga clic sobre el botón 'Crear disco'. Una vez terminado, proteja contra escritura este disco e inicie el sistema desde el mismo.

Abra el directorio de Sophos Anti-Virus mediante el comando

CD C:\ARCHIV~1\SOPHOS~1

(o CD C:\PROGRA~1\SOPHOS~2). Escriba DIR *.TXT para comprobar que existe el archivo READ95.TXT (si no es así, entre en el segundo directorio).

Para realizar la desinfección de los archivos infectados, escriba

SWEEP C: -DIPE -P=VIRLOGC.TXT

El resto de archivos relacionados deben borrarse. Escriba

SWEEP C: -REMOVEF -P=REMVLOGC.TXT

Ahora puede iniciar Windows de nuevo. En Windows Me debería purgar System Restore.

Si no consigue erradicar el virus, contacte con soporte técnico de Sophos.

Otras plataformas

Vea las instrucciones (en inglés) para desinfectar archivos ejecutables PE.

Si no consigue erradicar el virus, contacte con soporte técnico de Sophos.

Más información

W32/Bugbear-B es un virus de redes que se extiende a través de email y copiándose en unidades compartidas de red.

El virus se aprovecha de las vulnerabilidades MIME e IFRAME en algunas versiones de Microsoft Outlook, Microsoft Outlook Express e Internet Explorer que permiten ejecutar adjuntos de forma automática al leer el mensaje. Microsoft ha creado un parche que podrá descargar desde Microsoft Security Bulletin MS01-027. Este parche soluciona diferentes agujeros de seguridad en los productos de Microsoft.

Si el virus se activa, copiará varios archivos en el equipo con nombres compuestos por letras aleatorias:

xxx.EXE (normalmente 72192 bytes) en la carpeta Inicio

zzzzzzz.DLL (normalmente 5632 bytes) en la carpeta System

El archivo EXE es una copia ejecutable del virus. El archivo DLL registra las pulsaciones del teclado.

El virus llega en un email que varía de aspecto y que podría no contener texto y llegar con alguno de los siguientes asuntos:

Hello!
update
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
fantastic
click on this!
Market Update Report
empty account
My eBay ads
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
$150 FREE Bonus!
Your News Alert
Get 8 FREE issues - no risk!
Greets!

El archivo adjunto puede tomar el nombre de cualquier otro archivo en el equipo de la víctima, con doble extensión, siendo la segunda EXE, SCR o PIF.

El virus puede tomar cualquier identidad a la hora de enviar los mensajes.

W32/Bugbear-B infecta los siguientes archivos en la carpeta de Windows:

scandskw.exe
regedit.exe
mplayer.exe
hh.exe
notepad.exe
winhelp.exe

Y los siguientes archivos en la carpeta Archivos de programa:

Internet Explorer\iexplore.exe
adobe\acrobat 5.0\reader\acrord32.exe
WinRAR\WinRAR.exe
Windows Media Player\mplayer2.exe
Real\RealPlayer\realplay.exe
Outlook Express\msimn.exe
Far\Far.exe
CuteFTP\cutftp32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
ACDSee32\ACDSee32.exe
MSN Messenger\msnmsgr.exe
WS_FTP\WS_FTP95.exe
QuickTime\QuickTimePlayer.exe
StreamCast\Morpheus\Morpheus.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
Trillian\Trillian.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
AIM95\aim.exe
Winamp\winamp.exe
DAP\DAP.exe
ICQ\Icq.exe
kazaa\kazaa.exe
winzip\winzip32.exe

W32/Bugbear-B se ejecuta en segundo plano mientras trata de inhabilitar programas antivirus y de seguridad con los siguientes nombres:

ZONEALARM.EXE, WFINDV32.EXE, WEBSCANX.EXE, VSSTAT.EXE, VSHWIN32.EXE, VSECOMR.EXE, VSCAN40.EXE, VETTRAY.EXE, VET95.EXE, TDS2-NT.EXE, TDS2-98.EXE, TCA.EXE, TBSCAN.EXE, SWEEP95.EXE, SPHINX.EXE, SMC.EXE, SERV95.EXE, SCRSCAN.EXE, SCANPM.EXE, SCAN95.EXE, SCAN32.EXE, SAFEWEB.EXE, RESCUE.EXE, RAV7WIN.EXE, RAV7.EXE, PERSFW.EXE, PCFWALLICON.EXE, PCCWIN98.EXE, PAVW.EXE, PAVSCHED.EXE, PAVCL.EXE, PADMIN.EXE, OUTPOST.EXE, NVC95.EXE, NUPGRADE.EXE, NORMIST.EXE, NMAIN.EXE, NISUM.EXE, NAVWNT.EXE, NAVW32.EXE, NAVNT.EXE, NAVLU32.EXE, NAVAPW32.EXE, N32SCANW.EXE, MPFTRAY.EXE, MOOLIVE.EXE, LUALL.EXE, LOOKOUT.EXE, LOCKDOWN2000.EXE, JEDI.EXE, IOMON98.EXE, IFACE.EXE, ICSUPPNT.EXE, ICSUPP95.EXE, ICMON.EXE, ICLOADNT.EXE, ICLOAD95.EXE, IBMAVSP.EXE, IBMASN.EXE, IAMSERV.EXE, IAMAPP.EXE, FRW.EXE, FPROT.EXE, FP-WIN.EXE, FINDVIRU.EXE, F-STOPW.EXE, F-PROT95.EXE, F-PROT.EXE, F-AGNT95.EXE, ESPWATCH.EXE, ESAFE.EXE, ECENGINE.EXE, DVP95_0.EXE, DVP95.EXE, CLEANER3.EXE, CLEANER.EXE, CLAW95CF.EXE, CLAW95.EXE, CFINET32.EXE, CFINET.EXE, CFIAUDIT.EXE, CFIADMIN.EXE, BLACKICE.EXE, BLACKD.EXE, AVWUPD32.EXE, AVWIN95.EXE, AVSCHED32.EXE, AVPUPD.EXE, AVPTC32.EXE, AVPM.EXE, AVPDOS32.EXE, AVPCC.EXE, AVP32.EXE, AVP.EXE, AVNT.EXE, AVKSERV.EXE, AVGCTRL.EXE, AVE32.EXE, AVCONSOL.EXE, AUTODOWN.EXE, APVXDWIN.EXE, ANTI-TROJAN.EXE, ACKWIN32.EXE, _AVPM.EXE, _AVPCC.EXE, _AVP32.EXE

El componente DLL de W32/Bugbear-B registrará cada pulsación del teclado.

W32/Bugbear-B abre el puerto 1080 y espera las instrucciones del atacante, que podría:

Obtener las contraseñas encriptadas en la caché
Descargar y ejecutar archivos
Buscar archivos
Borrar archivos
Ejecutar archivos
Copiar archivos
Modificar archivos
Listar procesos
Detener procesos
Obtener información como el nombre de usuario, tipo de procesador, versión de Windows, memoria del sistema, discos duros.

El usuario remoto puede también abrir el puerto 80 (HTTP) en el equipo infectado y conectar con el programa de puerta trasera que hace de servidor Web (posiblemente del tipo Apache 1.3.26) incluido con W32/Bugbear-B y conseguir así mayor control sobre el equipo infectado.

Ejemplo de acceso remoto a un equipo infectado utilizando la puerta trasera

Ejemplo de acceso remoto a un equipo infectado utilizando la puerta trasera

Ejemplo de acceso remoto a un equipo infectado utilizando la puerta trasera

Ejemplo de acceso remoto a un equipo infectado utilizando la puerta trasera

Ejemplo de acceso remoto a un equipo infectado utilizando la puerta trasera

Ejemplo de acceso remoto a un equipo infectado utilizando la puerta trasera

RSS|Atom
Recibir informes sobre las amenazas de virus y programas espía más recientes