HERRAMIENTA GRATUITA CONTRA BUGBEAR.B

BITDEFENDER ESTRENA UHA HERRAMIENTA GRATUITA DE DESINFECCIÓN CONTRA BUGBEAR.B

HERRAMIENTA GRATUITA CONTRA BUGBEAR.BLa primera compañía antivirus del mundo que ofrece una solución antivirus gratuita.

BitDefender, uno de los líderes en programas y servicios dedicados a la seguridad informática, estrena hoy una herramienta gratuita de desinfección contra la nueva versión polimórfica del virus BugBear – BugBear.B. La solución de BitDefender es la primera en el mundo que limpia los ordenadores infectados, bloqueando de esta forma la enorme propagación del virus.

Parece que BugBear.B se está multiplicando a niveles alarmantes, amenazando con alcanzar la fama de su predecesor: BugBear.A fue el segundo virus más propagado en el mundo en 2002, con miles de sistemas infectados por hora.

Win32.Bugbear.B@mm es un gusano de Internet que se propaga por e-mail y mediante las carpetas compartidas en la red, calificado también con alto potencial de infectar ficheros y como backdoor. El virus emplea un truco especial de la ingeniería social: los archivos adjuntos, el cuerpo del mensaje y los asuntos pueden ser extraídos de una lista predefinida o también elegidos desde unos ficheros o mensajes que el virus encuentra en el equipo infectado. Los usuarios deben recordar que este virus emplea un método clásico, falsificando los campos “De” y “Responder” de los mensajes de correo.

La herramienta gratuita de desinfección está disponible en 3 idiomas de circulación internacional (inglés, español y alemán) en los sitios web de BitDefender. La versión en español se puede descargar desde:

http://www.bitdefender.com/html/tools_gratis.php

Las soluciones profesionales BitDefender se pueden comprar en la página:

http://www.bitdefender-es.com/b2b/tienda_productos.php

Los especialistas antivirus de BitDefender son ya famosos por haber lanzado soluciones antivirus gratuitas para las más importantes amenazas informáticas.

A continuación incluimos la descripción y los datos técnicos referentes al virus BugBear.B.

Descripción:
Nombre: Win32.BugBear.B@mm
Alias: W32/Bugbear@MM, W32.Bugbear.B@mm
Tipo: Backdoor ejecutable, Infector de ficheros, mensajero masivo
Tamaño: 72192 bytes
Descubierto: 05.06.2003
Detectado: 05.06.2003, 14:00 (GMT+1)
Propagación: Alta
Riesgo: Medio
ITW: Sí

Descripción técnica:

Se trata de un gusano de Internet que se propaga a través de email y a través de las carpetas compartidas de la red.

Se aprovecha de la vulnerabilidad de IFRAME para ejecutarse sin que el usuario interfiere.

El e-mail tiene normalmente el siguiente formato:

Asunto:

Elige el asunto al azar desde la siguiente lista:

“Greets!”
“Get 8 FREE issues – no risk!”
“Hi!”
“Your News Alert”
“$150 FREE Bonus!”
“Re:”
“Your Gift”
“New bonus in your cash account”
“Tools For Your Online Business”
“Daily Email Reminder”
“News”
“free shipping!”
“its easy”
“Warning!”
“SCAM alert!!!”
“Sponsors needed”
“new reading”
“CALL FOR INFORMATION!”
“25 merchants and rising”
“Cows”
“My e Bay ads”
“empty account”
“Mark et Update Report”
“click on this!”
“fantastic”
“wow!”
“bad news”
“Lost & Found”
“New Contests”
“Today Only”
“Get a FREE gift!”
“Membership Confirmation”
“Report”
“Please Help…”
“Stats”
“I need help about script!!!”
“Interesting…”
“Introduction”
“various”
“Announcement”
“history screen”
“Correction of errors”
“Just a reminder”
“Payment notices”
“hmm..”
“update”
“Hello!”

o cualquier otro asunto que se encuentre en la base de datos de email.

Ficheros adjuntos:

Elegidos al azar desde la siguiente lista:
Setup,Card, Docs, news, image, images, pics, resume, photo, video, music, song, data

La segunda extension del fichero puede ser un: exe, scr o pif.

Cuando el gusano se envía a si mismo utilizando la información de otros emails que encuentra, el fichero adjunto puede tener una de las extensiones .exe, .scr o .pif.

Cuerpo del mensaje:
Puede ser cualquiera.

Una vez ejecutado el gusano verifica el mutex w32sharmur para ver si está en la memoria del sistema.
Si el mutex no existe, el virus se copia a si mismo en la carpeta de INICIO bajo un nombre elegido al azar con la extensión exe, y luego sale fuera.

Después de reiniciar el equipo el virus deja un fichero dll bajo un nombre elegido al azar que es un troyano keyloger . Esta dll se utiliza para capturar las teclas que se van presionando presionan. También crea otros dos ficheros dll’s que guardan la teclas capturadas en un formato encriptado.

Por otra parte crea un fichero tipo dat donde escribe información acerca de la configuración del sistema.

El gusano infecta los siguientes ficheros añadiendo su código viral al final del fichero objetivo y cambia el punto de entrada al código adjunto:

En la carpeta “Archivos de progama”:

winzipwinzip32.exe
kazaakazaa.exe
ICQIcq.exe
DAPDAP.exe
Winampwinamp.exe
AIM95aim.exe
LavasoftAd-aware 6Ad-aware.exe
TrillianTrillian.exe
Zone LabsZoneAlarmZoneAlarm.exe
StreamCastMorpheusMorpheus.exe
QuickTimeQuickTimePlayer.exe
WS_FTPWS_FTP95.exe
MSN Messengermsnmsgr.exe
ACDSee32ACDSee32.exe
AdobeAcrobat 4.0ReaderAcroRd32.exe
CuteFTPcutftp32.exe
FarFar.exe
Outlook Expressmsimn.exe
RealRealPlayerrealplay.exe
Windows Media Playermplayer2.exe
WinRARWinRAR.exe
adobeacrobat 5.0readeracrord32.exe
Internet Exploreriexplore.exe

En %windir% ( carpeta de Windows)

winhelp.exe
notepad.exe
hh.exe
mplaer.exe
regedit.exe
scandskw.exe

También cuando infecta los ficheros cambia el código de encriptación para que sea más difícil de detectar.

Cada 20 segundos el gusano verifica los programas activos y si encuentra alguno de la siguiente lista termina el proceso:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE

También se escribe a si mismo en las carpetas compartidas de la red bajo el nombre de setup.exe.

El gusano se envía a si mismo a través de email utilizando la configuración local del SMTP.

Recoge todas las direcciones de email desde ficheros que contengan la siguiente cadena:
.ODS, .INBOX, .MMF, .NCH, MBX, EML, DBX, INI

Si estos ficheros están presentes como base de datos del mail, tratará de encontrar los emails recibidos y les responde cambiando el fichero adjunto original con el cuerpo del virus añadiendo una de las siguientes extensiones: .exe, .scr, .pif.

Si los email no tienen ficheros adjuntos elige un nombre de la lista anteriormente mencionada o desde el disco duro del equipo infectado y lo añade al email.

El virus tiene también propiedades de backdoor y espera una conexión de tipo http por el puerto 1080.

Desinfección:

Desinfección automática:

1. Configure BitDefender para desinfectar / eliminar los ficheros infectados.
2. Descargue la herramienta de desifección gratuita Anti-BugBear.B.

El servicio gratuito de Alerta Virus de BitDefender ofrece a sus suscriptores las últimas noticias con respecto a las características de los nuevos virus, descripciones, síntomas, rutina de infección , riesgos de propagación, así como instrucciones avanzadas para la eliminación. Subscríbase gratis.

Para más informaciones acerca de nuestras herramientas de desinfección gratuitas le rogamos consulte http://www.bitdefender-es.com/html/tools_gratis.php.

Los productos antivirus de BitDefender están disponibles para su compra en http://www.bitdefender-es.com/b2b/tienda_productos.php .

* * *

Acerca de SOFTWIN Fundada en 1990, SOFTWIN es uno de los líderes en software antivirus y servicios dedicados a la seguridad informática. La compañía ha desarrollado y aplicado tecnologías de última generación en más de 3000 de proyectos de aplicaciones software y conversiones de datos para clientes de EEUU y Europa. BitDefender, el producto principal de SOFTWIN, es el tercero en el mundo en haber recibido la certificación de los Laboratorios ICSA para el sistema operativo Microsoft Windows XP y es el único producto antivirus premiado por la Comisión Europea para IT para la innovación, estabilidad y potencial de mercado. La sede central de SOFTWIN es en Bucarest, Rumania.

Website: http://www.softwin.ro

Acerca de BitDefender(tm) La misión del Departamento de Seguridad de los Datos de SOFTWIN es el de asegurar la protección de los sistemas contra los virus informáticos, de realizar análisis, estudiar y desarrollar antídotos para los nuevos virus, de crear tecnologías para supervisar todas las posibilidades de infección de un sistema, y, además, comunicar al público los peligros sobre las últimas amenazas informáticas. Lanzado como nueva marca de fábrica en noviembre del 2001, BitDefender(tm) ofrece en este momento soluciones de seguridad destinadas a satisfacer los requisitos del ambiente empresarial actual, permitiendo la administración de todas las amenazas complejas que ponen en peligro una red, desde una pequeña red local hasta una multi-server o multi-platform WAN’s.

Website: http://www.bitdefender-es.com

El nombre y el logo BitDefender son marcas registradas por SOFTWIN SRL, Rumania. Otras marcas y nombres de producto son marcas registradas por sus respectivos propietarios

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática