Connect with us

technokrata

Különösen veszélyes féreg: W32.Bugbear.B@mm

Dotkom

Különösen veszélyes féreg: W32.Bugbear.B@mm

A Bugbear féreg első változata annyira elterjedtté vált, hogy még olyan digitális kártevő is készült, mely magát egy Bugbear eltávolító eszköznek álcázta. Aki azt hitte, megmenekültünk, tévedett – itt az újabb változat, amely veszélyesebb, mint valaha.

A fertőzött e-mail tulajdonságai

A beérkezett e-mailekre válaszol vagy továbbítja azokat.

Tárgy: az alábbiak egyike:
. Hello!
. update
. hmm..
. Payment notices
. Just a reminder
. Correction of errors
. history screen
. Announcement
. various
. Introduction
. Interesting…
. I need help about script!!!
. Stats
. Please Help…
. Report
. Membership Confirmation
. Get a FREE gift!
. Today Only
. New Contests
. Lost & Found
. bad news
. wow!
. fantastic
. click on this!
. Market Update Report
. empty account
. My eBay ads
. Cows
. 25 merchants and rising
. CALL FOR INFORMATION!
. new reading
. Sponsors needed
. SCAM alert!!!
. Warning!
. its easy
. free shipping!
. News
. Daily Email Reminder
. Tools For Your Online Business
. New bonus in your cash account
. Your Gift
. Re:
. $150 FREE Bonus!
. Your News Alert
. Hi!
. Get 8 FREE issues – no risk!
. Greets!

Csatolmány:

– a csatolmány kiterjesztése két tagból áll, a második tag a következő három valamelyike lesz: .scr, .pif, .exe
– a csatolmány nevét az alábbi listából választja ki:
. readme
. Setup
. Card
. Docs
. news
. image
. images
. pics
. resume
. photo
. video
. music
. song
. data

A féreg paraméterei

Felfedezésének ideje: 2003. június 4.
Védekezés elkészültének ideje: 2003. június 5.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 72.192 byte
Fertőzések száma: több mint ezer
Földrajzi elterjedtsége: közepes
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a Startup könyvtárba egy olyan file-névvel, mely csak pár, véletlenszerűen választott karakterből áll; kiterjesztése pedig EXE
– az Inboxban található e-mailcímeket megkeresi, illetve az összes olyan file-ból kigyűjti a címeket, melynek kiterjesztése: .mmf, .nch, .mbx, .eml, .tbb, .dbx, .ocs
– a fertőzött rendszer e-mailcímét és SMTP szerverét megszerzi a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Account Manager/Accounts Registry kulcsból
– saját SMTP motorja révén a fent összegyűjtött e-mail címekre továbbítja magát úgy, hogy a From: mezőben levő adatot meghamisítja
– az e-mail oly módon kerül megszerkesztésre, hogy amennyiben a célrendszeren nincsen telepítve az Incorrect MIME Header Can Cause IE to Execute E-mail Attachment javítás, akkor azonnal, automatikusan megfertőzi a címzett számítógépét, mihelyst a levelet megkapta
– megfertőzi a helyi és a helyi hálózaton található állományokat; hozzáfűzi (polimorf) kódját azon file-okhoz, melyek megtalálhatók az alábbi listában:
. scandskw.exe
. regedit.exe
. mplayer.exe
. hh.exe
. notepad.exe
. winhelp.exe
. Internet Explorer/iexplore.exe
. adobe/acrobat 5.0/reader/acrord32.exe
. WinRAR/WinRAR.exe
. Windows Media Player/mplayer2.exe
. Real/RealPlayer/realplay.exe
. Outlook Express/msimn.exe
. Far/Far.exe
. CuteFTP/cutftp32.exe
. Adobe/Acrobat 4.0/Reader/AcroRd32.exe
. ACDSee32/ACDSee32.exe
. MSN Messenger/msnmsgr.exe
. WS_FTP/WS_FTP95.exe
. QuickTime/QuickTimePlayer.exe
. StreamCast/Morpheus/Morpheus.exe
. Zone Labs/ZoneAlarm/ZoneAlarm.exe
. Trillian/Trillian.exe
. Lavasoft/Ad-aware 6/Ad-aware.exe
. AIM95/aim.exe
. Winamp/winamp.exe
. DAP/DAP.exe
. ICQ/Icq.exe
. kazaa/kazaa.exe
. winzip/winzip32.exe
– felméri a hálózati megosztásokat, és természetesen ezt a lehetőséget sem hagyja ki a szaporodásra: felmásolja magát minden hálózati megosztásba is
– a féreg igyekszik minden távoli számítógép Startup könyvtárába is felmásolni magát
– mivel nem tesz különbséget számítógép és nyomtató között, ezért előfordulhat az, hogy elküldi magát a printerre is
– egy véletlenszerűen generált nevű, 5632 byte-os DLL-t felmásol a System könyvtárba, amely képes a leütött billentyűk (további kódolt file-okban való) tárolására
– meghatározza az alapértelmezett e-mailcím alapján, hogy a helyi rendszer milyen bankkal áll kapcsolatban, majd engedélyezi az automatikus tárcsázást a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings Registry kulcsban való EnableAutodial=0000001 bejegyzés létrehozásával
– a féreg több mint ezer bank domainjének listájával rendelkezik, mely a világon szerteszét megtalálható pénzügyi intézményekhez tartozik; a fenti módosítások révén jelszavakat képes megszerezni
– képes leállítani a rendszerre telepített behatolásvédelmi szoftverek futó processeit

Trójai képességek

– megnyitja a 1080-as portot, és azon hallgatózik; ennek révén a támadó képessé válik az alábbi műveletek végrehajtására:
– file-ok törlése
– futó processek leállítása
– processek listázása és a hacker számára való elküldése
– file-ok másolása
– processek indítása
– file-ok listázása és a hacker számára való elküldése
– a megszerzett billentyű-leütések alkotójának való elküldése
– rendszerinformációk (név, processzor típus, Windows verzió stb.) elküldése
– stb.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek