Win32/Bugbear.A

Ďalšie názvy: I-Worm.Tanatos

Win32/Bugbear.A je červ fungujúci v prostredí operačných systémov Windows. Šíri sa ako súbor v prílohe správ elektroncikej pošty. Jeho telo je zakódované utilitou PE LOCK. Jeho dĺžka je 50688 bajtov. Používa trik s dvoma príponami v názve súboru. Tento trik využíva skutočnosť, že operačný systém Windows zobrazí prvú príponu no druhá, skutočná už zobrazená nie je. Červ má tiež backdoor komponent a schopnosť šíriť sa po lokálnej sieti.

Poznámka:V ďalšom texte je namiesto mena adresára, v ktorom je nainštalovaný operačný systém Windows, ktorý sa môže líšiť pri každej jednotlivej inštalácii, použitý symbolický zápis %windir%.

Po spustení súboru v prílohe sa červ nakopíruje do adresára %windir%/System pod náhodne vygenerovaným menom (napríklad hatch.exe) a do adresára %windir%\Ponuka Štart\Programy\Po Spustení \ (angl. verzia %windir%\Strat Menu\Programs\Start Up\) taktiež pod náhodne vygenerovaným menom (napríklad ias.exe). V adresári %windir%/System vytvorí súbory s náhodnými menami a príponami .dll - napríklad daxmmjm.dll, favuupu.dll a gauyys.dll. V registri systému vytvorí v kľúči HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ položku "lap" s hodnotou ukazujúcou na vytvorený súbor v adresári %windir%/System.

Červ deaktivuje v pamäti procesy, ktoré majú názov zhodný so zoznamom v tele červa. Tieto názvy zodpovedajú rozličným antivírusovám rezidentným programom, firewallom a bezpečnostným utilitám. Tento zoznam na veľmi rozsiahly:

ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE

PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE

AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE

Pre svoje šírenie vyhľadáva adresy elektronickej pošty v súboroch s príponami .ODS, .MMF, .NCH, .MBX, .EML, .TBB a .DBX. Správa, ktorú odosiela môže mať jeden z nasledovných predmetov:

Hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only New Contests
Lost & Found
bad news
wow!
fantastic
click on this!
Market Update Report
empty account
My eBay ads
Cows
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
News
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
Re: Your News
Alert
Hi!
Get 8 FREE issues - no risk!
Greets!

K tejto správe je pripojená kópia červa, ktorá má vždy dve prípony. Prvou z nich je jedna z nasledovných:

reg
ini
bat
h

diz
txt
cpp
c

html
htm
jpeg
jpg
gif
cpl
bmp

Druhá môže byť SCR, PIF alebo EXE. Vzhľadom na spôsob, akým červ tvorí správu, ktorou sa šíri, môže niekedy dôjsť k úniku dôverných informácii. Červ využíva pre svoje šírenie aj známu chybu prehliadača Internet Explorer "Incorrect MIME Header", popis ktorej sa nachádza na adrese www.microsoft.com/technet/security/bulletin/MS01-020.asp. Táto chyba, pokiaľ na cieľovom počítači ešte nie je nainštalovaná jej oprava, umožnuje aktiváciu červa už len zobrazením náhľadu správy, v prílohe ktorej sa červ nachádza. Nakoľko túto chybu využíva viacero červov a trójskych koňov, je potrebné, aby ste si nainštalovali jej opravu. Tá sa nachádza na adrese www.microsoft.com/windows/ie/download/critical/Q290108/default.asp. Táto oprava je potrebná, pokiaľ používate Internet Explorer verzii 5.01 alebo 5.5.

Backdoor komponent červa možnuje vzdialený prístup na infikovaný počítač. Inštaluje tiež do systému trojského koňa - v jednom zo súborov vytváraných v adresári adresári %windir%/System. Tento komponent červa má dĺžku 5632 bajtov.

AV systém NOD32 detekuje Win32/Bugbear.A od verzie 1.308 (20020930)

Postup liečenia: