home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / bugbear.nasl

< prev

next >

Wrap

Text File  |  2005-03-31  |  5KB  |  145 lines

---

1. #
2. # This script was written by Michel Arboi <arboi@alussinan.org>
3. # Well, in fact I started from a simple script by Thomas Reinke and 
4. # heavily hacked every byte of it :-]
5. #
6. # GPL
7. #
8. # Script audit and contributions from Carmichael Security <http://www.carmichaelsecurity.com>
9. #      Erik Anderson <eanders@carmichaelsecurity.com>
10. #      Added links to the Bugtraq message archive and Microsoft Knowledgebase
11. #
12. # There was no information on the BugBear protocol. 
13. # I found a worm in the wild and found that it replied to the "p" command;
14. # the data look random but ends with "ID:"  and a number
15. # Thomas Reinke confirmed that his specimen of the worm behaved in the 
16. # same way. 
17. # We will not provide the full data here because it might contain 
18. # confidential information.
19. # 
20. # References:
21. #
22. # Date: Tue, 1 Oct 2002 02:07:29 -0400
23. # From:"Russ" <Russ.Cooper@RC.ON.CA>
24. # Subject: Alert:New worms, be aware of internal infection possibilities
25. # To:NTBUGTRAQ@LISTSERV.NTBUGTRAQ.COM
26. #
27.  
28. if(description)
29. {
30.  script_id(11135);
31.  script_bugtraq_id(2524);
32.  script_cve_id("CVE-2001-0154"); # For MS01-020 - should be changed later
33.  script_version ("$Revision: 1.10 $");
34.  name["english"] = "Bugbear worm";
35.  name["francais"] = "Ver Bugbear";
36.  
37.  script_name(english:name["english"], francais: name["francais"]);
38.  
39.  desc["english"] = "
40. BugBear backdoor is listening on this port. 
41. A cracker may connect to it to retrieve secret 
42. information, e.g. passwords or credit card numbers...
43.  
44. The BugBear worm includes a key logger and can kill 
45. antivirus or personal firewall softwares. It propagates 
46. itself through email and open Windows shares.
47. Depending on the antivirus vendor, it is known as: Tanatos, 
48. I-Worm.Tanatos, NATOSTA.A, W32/Bugbear-A, Tanatos, W32/Bugbear@MM, 
49. WORM_BUGBEAR.A, Win32.BugBear...
50.  
51. http://www.sophos.com/virusinfo/analyses/w32bugbeara.html
52. http://www.ealaddin.com/news/2002/esafe/bugbear.asp
53. http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.html
54. http://vil.nai.com/vil/content/v_99728.htm
55.  
56. Reference : http://online.securityfocus.com/news/1034
57. Reference : http://support.microsoft.com/default.aspx?scid=KB;en-us;329770&
58.  
59. Solution: 
60. - Use an Anti-Virus package to remove it.
61. - Close your Windows shares
62. - Update your IE browser 
63.   See 'Incorrect MIME Header Can Cause IE to Execute E-mail Attachment'
64.   http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx
65.  
66. Risk factor : Critical";
67.  
68.  desc["francais"] = "
69. La backdoor BugBear Θcoute sur ce port.
70. Un pirate peut se connecter dessus pour retrouver des informations
71. secrΦtes, par exemple des mots de passe ou des numΘros de carte de
72. crΘdit...
73.  
74. Le ver BugBear inclut un 'key logger' et peut tuer les logiciels
75. antivirus ou firewalls personnels. Il se propage via le courrier
76. Θlectronique ou les partages Windows ouverts.
77. Selon le vendeur d'antivirus, il est aussi nommΘ : Tanatos, 
78. I-Worm.Tanatos, NATOSTA.A, W32/Bugbear-A, Tanatos, W32/Bugbear@MM, 
79. WORM_BUGBEAR.A, Win32.BugBear...
80.  
81. http://www.sophos.com/virusinfo/analyses/w32bugbeara.html
82. http://www.ealaddin.com/news/2002/esafe/bugbear.asp
83. http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.html
84. http://vil.nai.com/vil/content/v_99728.htm
85.  
86. Solution: 
87. - Utilisez un antivirus pour le supprimer.
88. - Fermez vous partages Windows
89. - Mettez α jour votre navigateur IE 
90.   Cf. 'Incorrect MIME Header Can Cause IE to Execute E-mail Attachment'
91.   http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx
92.  
93. Risk factor : Critical";
94.  
95.  script_description(english:desc["english"], francais:desc["francais"]);
96.  
97.  summary["english"] = "Detect Bugbear worm";
98.  summary["francais"] = "DΘtecte le ver Bugbear";
99.  script_summary(english:summary["english"], francais:summary["francais"]);
100.  
101.  script_category(ACT_GATHER_INFO);
102.  
103.  script_copyright(
104.   english:"This script is Copyright (C) 2002 Michel Arboi & Thomas Reinke",
105.   francais:"Ce script est copyright (C) 2002 Michel Arboi & Thomas Reinke");
106.  family["english"] = "Backdoors";
107.  family["francais"] = "Backdoors";
108.  script_family(english:family["english"], francais:family["francais"]);
109.  script_require_ports(36794);
110.  script_dependencies("find_service.nes");
111.  exit(0);
112. }
113.  
114. #
115. include("misc_func.inc");
116.  
117. port = 36794;
118.  
119. if (! get_port_state(port)) exit(0);
120. soc = open_sock_tcp(port);
121. if (! soc) exit(0);
122.  
123. # We just need to send a 'p' without CR
124. send(socket: soc, data: "p");
125. # I never saw a buffer bigger than 247 bytes but as the "ID:" string is 
126. # near the end, we'd better use a big buffer, just in case
127. r = recv(socket: soc, length: 65536);
128. close(soc);
129.  
130. if ("ID:" >< r) {
131.  security_hole(port); 
132.  register_service(port: port, proto: "bugbear");
133.  exit(0); 
134. }
135.  
136. msg = "
137. This port is usualy used by the BugBear backdoor.
138. Although Nessus was unable to get an answer from the worm, 
139. you'd better check your machine with an up to date 
140. antivirus scanner.
141.  
142. Risk factor: Medium";
143. security_warning(port: port, data: msg);
144.  
145.