Bugbear.b: két AVERT riasztás egy napon
forrás Prim Online, 2003. június 5. 22:07
[smallimage 1 left] Az AVERT, a Network Asociates vírusszakértői csoportja a mai napon egymás után kétszer sorolta magasabb veszélyességi kategóriába a W32/Bugbear.b@MM vírust.
Magyar idő szerint délelőtt „közepes, megfigyelés alatt" volt a besorolás, majd néhány óra múlva a szakértők új közleménye szerint azért lett "magas" veszélyességi kategóriájú, mert előfordulási gyakorisága az utóbbi huszonnégy órában tovább nőtt. A W32/Bugbear.b@MM féregvírust 2003 június 4-én fedezték fel először, és a ma kiadott 4270-es DAT fájl már kezeli. A teljes védelmet a hamarosan megjelenő EXTRA.DAT fájl tartalmazza majd.
A W32/Bugbear.b@MM komplex, több komponenst tartalmazó vírus, e-mailen és helyi hálózaton keresztül is terjeszti magát, hamis feladót feltüntetve. A többek között:
A vírus a fertőzött gépen található DBX, EML, INBOX, MBX, MMF, NCH, ODS és TBB kiterjesztésű fájlokból, mind a címzett, mind a feladó mezőkből összegyűjtött e-mail címekre küldi magát tovább.
Az érkező fertőzött e-mail az alábbi ismertetőjegyek alapján azonosítható:
Bár a vírus kódja tartalmaz témasorokat és csatolt állomány neveket, az eredeti variáns tipikusan a vírusban nem szereplő adatokat használt ezekre a célokra. Ezért valószínűsíthetőbb a fertőzött rendszeren található szavak és fájlnevek előfordulása mindkét helyen. Mindemellett a lehetséges témasorok között szerepelhetnek például az alábbiak:
Az e-mail szövege és a csatolt állomány neve többnyire szintén a fertőzött rendszeren található szövegekből és fájlnevekből áll, ám számos valószínű példa létezik:
A csatolt állomány kiterjesztése EXE, PIF vagy SCR.
További lehetőség, hogy a vírus a registryben a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal kulcsban tárolt személyes mappából választ fájlnevet. Gyakori a kettős kiterjesztés is, például ie.doc.pif. A vírus a „MIME Header Can Cause IE to Execute E-mail Attachment", az MS01-020 számon nyilvántartott sebezhetőséget használja ki a Microsoft Internet Explorer 5.01-es vagy 5.5-ös, SP2 nélküli verzióiban. Az átjárókat figyelő szkennerek ezért „Exploit-MIME.gen." vagy „Exploit-MIME.gen.exe" néven azonosítják, a 4213-as vagy magasabb verziójú DAT fájl alapján.
A vírus működésbe lépésekor a START UP mappába másolja magát véletlenszerű fájlnéven, mint például:
Win98 : C:\WINDOWS\Start Menu\Programs\Startup\BSFS.EXE
2kPro: C:\Documents and Settings\(username)\Start Menu\Programs\Startup\ BSFS.EXE
Hálózati terjedés:
A vírus megkísérli a hálózathoz kapcsolódó gépek START UP mappáiba másolni magát a fent leírt módon.
Keylog-funkció
A vírus véletlenszerűen elnevezett DLL-t telepít a SYSTEM (%sysdir%) mappába a begépelt adatok elfogására. Két másik, szintén véletlenszerűen elnevezett fájl tartalmazza az elfogott információt, kódolt formában.
Trójai komponens:
A vírus az 1080-as TCP portot figyeli, hozzáférést engedve a fertőzött rendszerhez.
Fájlfertőzés:
A vírus megpróbál megfertőzni számos EXE állományt a PROGRAM FÁJLOK mappához tartozó HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir registry kulcs alapján, valamint az alábbi fájlokat:
A vírus kódja tartalmaz továbbá egy hosszú, domainnevekből álló listát az e-mail hamisítás céljára.
A teljes listák és további információ
Amennyiben a gépet megfertőzte a W32/Bugbear.b@MM, küldjön mintát.
További információ az AVERT javaslatairól és a kockázatfelmérésről
A W32/Bugbear.b@MM komplex, több komponenst tartalmazó vírus, e-mailen és helyi hálózaton keresztül is terjeszti magát, hamis feladót feltüntetve. A többek között:
Mass-mailer (tömeges postázó)
Keylogger (leütésrögzítő)
Remote Access Trojan (távoli hozzáférés trójai)
Polymorphic Parasitic File Infector (polimorf élősdi állományfertőző)
Security Software Terminator (biztonságiszoftver-kiirtó) funkciókat tartalmaz.
Keylogger (leütésrögzítő)
Remote Access Trojan (távoli hozzáférés trójai)
Polymorphic Parasitic File Infector (polimorf élősdi állományfertőző)
Security Software Terminator (biztonságiszoftver-kiirtó) funkciókat tartalmaz.
A vírus a fertőzött gépen található DBX, EML, INBOX, MBX, MMF, NCH, ODS és TBB kiterjesztésű fájlokból, mind a címzett, mind a feladó mezőkből összegyűjtött e-mail címekre küldi magát tovább.
Az érkező fertőzött e-mail az alábbi ismertetőjegyek alapján azonosítható:
Bár a vírus kódja tartalmaz témasorokat és csatolt állomány neveket, az eredeti variáns tipikusan a vírusban nem szereplő adatokat használt ezekre a célokra. Ezért valószínűsíthetőbb a fertőzött rendszeren található szavak és fájlnevek előfordulása mindkét helyen. Mindemellett a lehetséges témasorok között szerepelhetnek például az alábbiak:
- 25 merchants and rising
- Announcement
- bad news
- CALL FOR INFORMATION!
- click on this!
- Correction of errors
- Cows
- Daily Email Reminder
- empty account
- fantastic
- free shipping!
- Get 8 FREE issues - no risk!
- Get a FREE gift!
- Greets!
- Hello!
- Hi!
Az e-mail szövege és a csatolt állomány neve többnyire szintén a fertőzött rendszeren található szövegekből és fájlnevekből áll, ám számos valószínű példa létezik:
- Card
- Docs
- image
- images
- music
- news
- photo
- pics
- readme
- resume
- Setup
- song
- video
A csatolt állomány kiterjesztése EXE, PIF vagy SCR.
További lehetőség, hogy a vírus a registryben a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal kulcsban tárolt személyes mappából választ fájlnevet. Gyakori a kettős kiterjesztés is, például ie.doc.pif. A vírus a „MIME Header Can Cause IE to Execute E-mail Attachment", az MS01-020 számon nyilvántartott sebezhetőséget használja ki a Microsoft Internet Explorer 5.01-es vagy 5.5-ös, SP2 nélküli verzióiban. Az átjárókat figyelő szkennerek ezért „Exploit-MIME.gen." vagy „Exploit-MIME.gen.exe" néven azonosítják, a 4213-as vagy magasabb verziójú DAT fájl alapján.
A vírus működésbe lépésekor a START UP mappába másolja magát véletlenszerű fájlnéven, mint például:
Win98 : C:\WINDOWS\Start Menu\Programs\Startup\BSFS.EXE
2kPro: C:\Documents and Settings\(username)\Start Menu\Programs\Startup\ BSFS.EXE
Hálózati terjedés:
A vírus megkísérli a hálózathoz kapcsolódó gépek START UP mappáiba másolni magát a fent leírt módon.
Keylog-funkció
A vírus véletlenszerűen elnevezett DLL-t telepít a SYSTEM (%sysdir%) mappába a begépelt adatok elfogására. Két másik, szintén véletlenszerűen elnevezett fájl tartalmazza az elfogott információt, kódolt formában.
Trójai komponens:
A vírus az 1080-as TCP portot figyeli, hozzáférést engedve a fertőzött rendszerhez.
Fájlfertőzés:
A vírus megpróbál megfertőzni számos EXE állományt a PROGRAM FÁJLOK mappához tartozó HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir registry kulcs alapján, valamint az alábbi fájlokat:
- hh.exe
- mplayer.exe
- notepad.exe
- regedit.exe
- scandskw.exe
- winhelp.exe
- ACDSee32\ACDSee32.exe
- Adobe\Acrobat 4.0\Reader\AcroRd32.exe
- adobe\acrobat5.0\reader\acrord32.exe
- AIM95\aim.exe
- CuteFTP\cutftp32.exe
A vírus kódja tartalmaz továbbá egy hosszú, domainnevekből álló listát az e-mail hamisítás céljára.
A teljes listák és további információ
Amennyiben a gépet megfertőzte a W32/Bugbear.b@MM, küldjön mintát.
További információ az AVERT javaslatairól és a kockázatfelmérésről
Kapcsolódó cikkek
- Harry Potter halott
- Hangüzenet kíséretében pusztít a BotVoice.A trójai
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- Terjed a YouTube-os vírus
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- Piacvezető itthon a NOD32