HOME
NOTICIAS
REDES WIRELESS
PREGUNTAS FRECUENTES
GLOSARIO
VIRUS
ARTÍCULOS
INTRUSIONES
Google
 
Web www.virusprot.com

WORM / GUSANO INFORMÁTICO

Enciclopedia de Virus
Virus Importantes
Guía de Antivirus
InfoVirus
Historia de los Virus

Bugbear.B

 
Info Virus
Enciclopedia
Noticias
 Virus Klez
Virus Bagle

Índice

publicidad
Elimina Virus
Ver Catálogo
 
Elimina Spyware
Ver Catálogo
 
Recupera Archivos
Ver Catálogo
 
Defragmenta Discos
Ver Catálogo
 
 

Alias: W32/Bugbear.B@mm, W32/Kijmo.A, I-Worm.Tanatos.B, Win32.Bugbear.B

Aparecido el día 5 de junio de 2003, Bugbear.B se difunde en un archivo PE de Windows comprimido con la herramienta UPX de 72192 bytes y encriptado con un sencillo algoritmo que cambia en cada versión que se difunde del gusano.

Una vez ejecutado, Bugbear.B se instala en el sistema infectando archivos de diferentes aplicaciones y herramientas populares del sistema. Asimismo, infecta la siguiente relación de carpetas de Windows y Archivos de Programa:

%ProgramFilesDir%\winzip\winzip32.exe
%ProgramFilesDir%\kazaa\kazaa.exe
%ProgramFilesDir%\ICQ\Icq.exe
%ProgramFilesDir%\DAP\DAP.exe 
%ProgramFilesDir%\Winamp\winamp.exe 
%ProgramFilesDir%\AIM95\aim.exe 
%ProgramFilesDir%\Lavasoft\Ad-aware 6\Ad-aware.exe
%ProgramFilesDir%\Trillian\Trillian.exe 
%ProgramFilesDir%\Zone Labs\ZoneAlarm\ZoneAlarm.exe
%ProgramFilesDir%\StreamCast\Morpheus\Morpheus.exe
%ProgramFilesDir%\QuickTime\QuickTimePlayer.exe
%ProgramFilesDir%\WS_FTP\WS_FTP95.exe 
%ProgramFilesDir%\MSN Messenger\msnmsgr.exe
%ProgramFilesDir%\ACDSee32\ACDSee32.exe 
%ProgramFilesDir%\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
%ProgramFilesDir%\CuteFTP\cutftp32.exe 
%ProgramFilesDir%\Far\Far.exe 
%ProgramFilesDir%\Outlook Express\msimn.exe
%ProgramFilesDir%\Real\RealPlayer\realplay.exe 
%ProgramFilesDir%\Windows Media Player\mplayer2.exe
%ProgramFilesDir%\WinRAR\WinRAR.exe 
%ProgramFilesDir%\adobe\acrobat 5.0\reader\acrord32.exe 
%ProgramFilesDir%\Internet Explorer\iexplore.exe 
%WinDir%\winhelp.exe 
%WinDir%\notepad.exe
%WinDir%\hh.exe 
%WinDir%\mplayer.exe 
%WinDir%\regedit.exe 
%WinDir%\scandskw.exe

El gusano puede también lanzar su archivo a la carpeta de Arranque bajo un nombre aleatorio o como SETUP.EXE, de modo que se activará en el siguiente arranque del sistema. Adicionalmente, el gusano lanza un componente "captura pulsaciones" en el directorio del sistema de nombre aleatorio y extensión DLL. El nombre puede ser MGLKCKK.DLL, por ejemplo. También crea dos archivos adicionales en la carpeta del sistema donde guarda sus datos de forma encriptada.

Difusión a través de e-mail

Utilizando su propio mecanismo SMTP, Bugbear.B se envia a todas las direcciones de correo almacenadas dentro de los archivos de extensión:

.ODS 
.MMF 
.NCH 
.MBX 
.EML 
.TBB 
.DBX 
INBOX

Algunos de éstos son bases de datos de e-mails y contienen un número importante de direcciones. Sin embargo, está programado para evitar la difusión a los correos electrónicos que contengan alguna de las siguientes cadenas de texto:

remove
spam
undisclosed
recipients
noreply
lyris
virus
trojan
mailer-daemon
postmaster@
root@
nobody@
localhost
localdomain
list
talk
ticket
majordom

El asunto de un mensaje infectado se extrae de archivos almacenados en la víctima y seleccionados al azar, o bien, se extrae de la siguiente lista:

Greets!
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!

El cuerpo del mensaje puede llegar vacío o puede contener un texto seleccionado también al azar de los archivos almacenados en el PC infectado. El cuerpo además puede contener un exploit para ejecutar el archivo adjunto que contiene el virus de manera automática. Esta vulnerabilidad, ampliamente empleada por los virus para su difusión, puede solventarse con el parche proporcionado por Windows desde la página web:

http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp

 



En cuanto al archivo adjunto como anteriormente citábamos puede tener el nombre de SETUP.EXE o una de las siguientes cadenas:

readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data  

Bugbear.B también puede tomar prestado un nombre de un archivo almacenado en el equipo, seleccionado aleatoriamente, y al que añadirá la extensión:

exe
scr
pif  

En caso de que el gusano utilice un nombre de archivo del equipo, el adjunto puede tener 2 ó más extensiones, por ejemplo DOCUMENT.DOC.EXE. El gusano chequea la extensión del archivo del que toma prestado el nombre y fija el tipo de contenido de su adjunto de acuerdo a ello.

Extensiones que chequea el gusano:

reg
ini
bat
h
diz
txt
cpp
c
html
htm
jpeg
jpg
gif
cpl
dll
vxd
sys
com
exe
bmp

 

Tipos de contenido del adjunto infectado:

image/gif
image/jpeg
application/octet-stream
text/plain
text/html  

El gusano falsifica la dirección del e-mail del emisor, de modo que si recibe un mensaje infectado, evite contestar ya que podría reenviar el virus a una persona que realmente no ha sido atacada.

Difusión a través de redes locales

Bugbear.B tiene la capacidad de infectar equipos remotos pertenecientes a redes locales. El gusano espera algún tiempo antes de comenzar su ciclo de infección y luego enumera los recursos compartidos, a continuación, conecta con ellos e intenta infectar los siguientes archivos dentro de las carpetas de Windows y Archivos de Programa localizadas en los sistemas remotos:

%ProgramFilesDir%\winzip\winzip32.exe
%ProgramFilesDir%\kazaa\kazaa.exe
%ProgramFilesDir%\ICQ\Icq.exe
%ProgramFilesDir%\DAP\DAP.exe
%ProgramFilesDir%\Winamp\winamp.exe
%ProgramFilesDir%\AIM95\aim.exe
%ProgramFilesDir%\Lavasoft\Ad-aware 6\Ad-aware.exe
%ProgramFilesDir%\Trillian\Trillian.exe
%ProgramFilesDir%\Zone Labs\ZoneAlarm\ZoneAlarm.exe
%ProgramFilesDir%\StreamCast\Morpheus\Morpheus.exe
%ProgramFilesDir%\QuickTime\QuickTimePlayer.exe
%ProgramFilesDir%\WS_FTP\WS_FTP95.exe
%ProgramFilesDir%\MSN Messenger\msnmsgr.exe
%ProgramFilesDir%\ACDSee32\ACDSee32.exe
%ProgramFilesDir%\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
%ProgramFilesDir%\CuteFTP\cutftp32.exe
%ProgramFilesDir%\Far\Far.exe
%ProgramFilesDir%\Outlook Express\msimn.exe
%ProgramFilesDir%\Real\RealPlayer\realplay.exe
%ProgramFilesDir%\Windows Media Player\mplayer2.exe
%ProgramFilesDir%\WinRAR\WinRAR.exe
%ProgramFilesDir%\adobe\acrobat 5.0\reader\acrord32.exe
%ProgramFilesDir%\Internet Explorer\iexplore.exe
%WinDir%\winhelp.exe
%WinDir%\notepad.exe
%WinDir%\hh.exe
%WinDir%\mplayer.exe
%WinDir%\regedit.exe
%WinDir%\scandskw.exe 

Por otra parte, el gusano intenta localizar la carpeta común de arranque sobre estos equipos con el fin de copiarse en ellas bajo el archivo de nombre SETUP.EXE o con un nombre al azar y extensión .EXE. Como resultado, estos equipos llegarán a infectarse bien después de su reinicio o después de que un usuario ejecute un archivo infectado.

Interrupción de Procesos

Bugbear.B interrumpe los procesos de ciertos programas de seguridad y anti-virus, entre otros. Cada 20 segundos el gusano revisa los procesos en curso relativos a la siguiente lista de archivos con el fin de inactivarlos.

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE

El gusano tiene procesos de interrupción independientes para sistemas basados en Windows 9x y Windows NT.

Ataque a sistemas bancarios

Bugbear.B contiene un extenso listado de dominios pertenecientes a bancos de todo el mundo. El gusano, una vez en acción, compara el nombre de dominio del equipo infectado con esta lista y si coincide, el virus puede activar la utilidad AutoDial del PC atacado modificando la siguiente entrada de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "EnableAutodial"=dword:00000001

El fin de esta entrada es mantener siempre en línea las estaciones de trabajo de los bancos siempre en línea, de modo que el backdoor pueda ser accesible en todo momento por un atacante al que le sería más fácil usar un capturador de teclas u otras utilidades backdoor para robar información confidencial de los sistemas, lo que hace que los equipos de los bancos sean más vulnerables que otros PCs infectados.

La lista de dominios de banca que el gusano incluye bancos de diferentes países del mundo: Francia, Reino Unido, Alemania, Australis, Italia, Grecia, Dinamarca, Nueva Zelanda, España, Brasil, Rumanía, Polonia, Argentina, Suiza, Finlandia, Taiwan, Turquia, Islandia, Eslovaquia, Corea, USA, Sudáfrica, República Báltica, Austria, Hungría, Noruega, República Checa, etc...

Otros efectos

De acuerdo con algunos informes, las impresoras de red comienzan a imprimir basura cuando Bugbear.B se difunde a través de una red, lo que podría considerarse un efecto colateral de un posible ataque a la red.

Componente backdoor

El gusano tiene un componente backdoor similar al empleado por la versión anterior de Bugbear, que abre el puerto 1080 y queda a la "escucha" de posibles comandos de un usuario remoto. Un hacker puede conectarse al backdoor y efectuar alguna de las siguientes acciones:

- obtener información del equipo infectado
- cargar y descargar archivos
- ejecutar y borrar archivos
- interrumpir tareas
- obtener la lista de tareas en proceso
- ejecutar programas de captura de pulsaciones
- iniciar servidores HTTP sobre un puerto seleccionado

También, a diferencia de la versión anterior, el backdoor de Bugbear.B no emplea un sistema de autenticación segura, de modo que puede ser utilizado por diferentes hackers y no sólo por el autor del código.

Los lectores de esta página también consultaron:
Virus de Hoy, Antivirus de Ayer...
Virus en PDAs
Virus y Antivirus
Fin del Reinado de la Seguridad Perimetral


VIRUSPROT.COM - Seguridad Informática, Virus y Seguridad Wifi
Copyright © VIRUSPROT.COM