Új vírust azonosítottak W32/Bugbear@MM néven

forrás: Prim Online forrás: Prim Online, 2002. október 1. 09:28
A vírus levelezéssel és megosztásokon keresztül is terjed, megnyitja a 36794-es portot, leállítja a népszerű víruskereső- és személyes tűzfal szoftvereket. Leírását a http://vil.nai.com/vil/content/v_99728.htm és a www.piksys.hu/vinfo/vinfo_bugbear.htm címen találják. A vírus felismeréséhez McAfee vírusirtó programok használata esetén a 4226-os adatbázisok szükségesek.
A vírus Microsoft Visual C-ben íródott, UPX-szel tömörített formátum. Hálózati megosztásokon és elektronikus levelezéssel is terjed. Tartalmaz egy backdoor trójai komponenst, amely a billentyű-leütéseket naplózza.

A programféreg a számítógépen található címekre küldi magát tovább. A víruskód tartalmaz email-tárgy és csatolmánynév-töredékeket. Ennek ellenére a beérkezett minták nagy része a vírusban nem szereplő információval érkezett. Valószínűbb, hogy a vírus a fertőzött rendszereken található információkból dolgozik. Az e-mail tárgyak és az üzenettörzs változhat, és az utóbbi a fertőzött gépen található fájlok töredékeit tartalmazza. A melléklet neve szintén változó.

A melléklet általában dupla kiterjesztéssel érkezik (pl.: .doc.pif). A kimenő üzenetek kihasználják az "Incorrect MIME-Header... (MS01-020)" biztonsági hiányosságot. A hiba a Microsoft Internet Explorer (v 5.01 és 5.5 SP2 nélkül) sajátossága. Az internet átjárón futtatott vírusellenőrzők a vírust, mint Exploit-MIME.gen. vagy Exploit-MIME.gen.exe detektálhatják.

A vírus lefuttatásakor bemásolja önamgát a %WinDir%\System könyvtárba, mint ****.EXE (ahol * tetszőleges karakter). Például: Win 98 : C:\WINDOWS\SYSTEM\FYFA.EXE 2000 Pro : C:\WINNT\SYSTEM32\FVFA.EXE

A következő registry kulcs készül a rendszerindításkori betöltődéshez: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion RunOnce "%random letters%" = %random filename%.EXE (Win9x)

A programféreg bemásolja magát a Startup folderbe, mint ***.EXE (ahol * tetszőleges karakter). Például: Win 98 : C:\WINDOWS\Start Menu\Programs\Startup\CUK.EXE 2000 Pro : C:\Documents and Settings\(username)\Start Menu\Programs\Startup\CYC.EXE

A programféreg kinyitja a 36794-es portot a fertőzött számítógépen, és a futó folyamatok közül többet megállít, ha azok benne vannak a vírusba épített listában. A lista több népszerű antivírus és személyi tűzfal folyamatot tartalmaz. Ez a távoli elérés lehetővé teszi a támadónak, hogy fel-illetve letöltsön fájlokat a számítógépről, folyamatokat állítson le és programokat futtasson. Egy DLL-t helyez el a számítógépen. Ez a DLL mint PWS-Hooker.dll. kerülhet detektálásra.

A féreg megpróbálja saját magát a hálózaton található többi számítógép Startup könyvtárába másolni.