Bugbear

Alias: Tanatos, Tanat

Aparecido el 30 de septiembre, BugBear, alias Tanatos, es un gusano de propagación masiva a través de correo electrónico como adjunto en un archivo PE EXE de 50.688 bytes de longitud comprimido mediante la herramienta UPX.

Cuando se ejecuta, el gusano se copia en el directorio del sistema de Windows bajo nombre aleatorio (JFMV.EXE, por ejemplo) y añade una entrada de arranque para este archivo en el Registro: 

 [HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce] 

El gusano también lanza en la carpeta del sistema un componente keylogging a modo de archivo DLL con nombre también seleccionado al azar . El gusano crea además dos archivos DLL donde almacena algunos datos encriptados y, otros dos archivos DAT aleatorios en la carpeta raíz de Windows. 

El gusano se difunde, mediante una rutina bastante compleja, en mensajes de correo como adjunto con nombres generados al azar y con una o más extensiones. Los asuntos y cuerpos del mensaje también adoptan diferentes textos. 

BugBear se sirve de la conocida vulnerabilidad en Outlookt e Internet Explorer para ejecutarse automáticamente sobre equipos donde se encuentre activada la opción de previsualización de mensajes.

El gusano localiza las direcciones de correo de la bandeja de entrada y en los archivos de extensiones: ODS, MMF, NCH, MBX, EML, TBB y DBX. 

Algunas veces el gusano recoge e-mails desde bases de datos de usuario infectadas y las envía fuera con su copia adjunta. También, puede insertar contenidos de archivos de texto aleatorios localizados en el disco duro atacado por él, dentro del cuerpo de mensaje infectado. El gusano puede enviarse en un mensaje con uno de los siguientes Asuntos:

Greets!
Get 8 FREE issues 
no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
Newsfree shipping!
its easy
Warning!
CAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!

Para evitar interrupciones u otros eventos no deseados, BugBear no se envía a direcciones que contengan las siguientes cadenas de texto:

remove
spam
undisclosed
recipients
noreply
lyris
virus
trojan
mailer-daemon
postmaster@
root@
nobody@
localhost
localdomain
list
talk
ticket
majordom

El gusano puede enviarse como adjunto con doble extensión, donde la primera puede ser una de las siguientes:

.reg.ini
.bat
.h
.diz
.txt
.cpp
.c
.html
.htm
.jpeg
.jpg
.gif

El gusano fija el tipo de contenido de un adjunto infectado de acuerdo a los anteriores tipos de archivo. El tipo de contenido puede ser uno de los siguientes: 

image/gif image/jpeg
application/octet-stream
text/plain
text/html

La segunda extensión del adjunto puede ser .scr, .pif, o bien, .exe 

BugBear puede capturar el nombre de su adjunto de alguno de los archivos almacenado en el disco atacado y luego añadirle una extensión ejecutable, por ejemplo puede enviarse como AGREEMENT.DOC.PIF. También el nombre de un adjunto infectado puede contener una de las siguientes cadenas: 

readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data

El gusano también posee capacidades de difusión a través de redes locales. El gusano enumera los recursos de red e intenta localizar la carpeta \Start Menu\Programas\Startup sobre sistemas remotos. En caso de encontrarla, BugBear se copia en ella con nombre aleatorio. Cuando el sistema remoto se reinicia, el archivo que contiene el gusano obtiene el control e infecta el sistema. 

El gusano busca continuamente y termina procesos con los siguientes nombres: 

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE

El gusano utiliza rutinas independientes para destruir sistemas Windows 9x y NT. En la mayoría de los casos el gusano efectivamente desactiva software de seguridad y anti-virus, lo cual evita su rápida detección en el sistema. 

A través del puerto 36794, BugBear puede ofrecer acceso a un sistema infectado y a la red mediante el uso de un componente backdoor, el cual, permitirá a un atacante acceder a un sistema infectado a través de un interfaz tipo web. El gusano genera páginas HTML on-the-fly cuando un atacante navega por los directorios de un equipo remoto infectado. 

El gusano contiene multitud de iconos que utiliza para identificar el tipo de unidades y archivos remotos. El componente backdoor también permite navegar a través de los recursos de red compartidos a los que un equipo infectado tenga acceso. También utiliza iconos para identificar los recursos de red. 

BugBear permite a un atacante obtener información sobre el sistema atacado: sistema operativo, tipo de procesador, unidades fijar y de red. 

Entre sus habilidades también se encuentra la de robar contraseñas. Instala un componente keylogging en el sistema, registra las pulsaciones del teclado y las guarda en un archivo. Luego envia este archivo a unas cuantas direcciones de correo almacenadas en el cuerpo del gusano de manera encriptada. Los nombres de servidor SMTP que el gusano utiliza para enviar los archivos también se encuentran almacenados de manera codificada.