Her den forrige virus alarm på dansk.
1) Rød virus ALARM
1)
Navn: W32.Bugbear-B.worm
Alias: PE_BUGBEAR.B, W32.Bugbear.B@mm, W32.Kijmo, W32.Shamur, Win32.Bugbear.B
Dato: 5. Juni 2003
Oprindelse: ?
Størrelse: 72,192 bytes
Risiko: Høj - opgraderet d. 5. Juni.2003 kl. 18.19
Bugbear-B spreder sig med voldsom hastighed
En variant af Bugbear er i kraftig spredning. Ormen indeholder samme funktionalitet
som forgængeren, men er nu også filinficerende og destruktiv. Den ankommer, som oftest
som vedhæftet fil i en e-mail. W32.Bugbear-B forsøger, at afvikle sig automatisk på et
ikke opdateret Microsoft Windows system. Det sker ved brug af Iframe sårbarheden.
BugBear-B er yderst avanceret. Den har været meget vanskelig og tidskrævende at
analysere.
W32.Bugbear-B.worm, er en sofistikeret e-mail baseret Internet orm, som på flere måder
forsøger, at snige sig forbi antivirus detektion. Ormen er pakket med UPX (Ultimate
Packer for eXecutables) og herefter krypteret med et polymorphic encryptor værktøj.
Den er den første e-mail baserede virus, som anvender denne teknik.
Ormen ankommer via e-mail med følgende indhold:
Fra (en spoofet adresse - W32.Bugbear-B høster lokale e-mail adresser og indsætter dem,
som afsender adresse.
Emne: (ormen kan tilfældigt vælge en af følgende, men det er vigtigt at understege, at
ormen ofte henter en tilfældig tekststreng og indsætter den i emnelinjen. Det betyder,
at ormen kan ankomme med dansk indhold):
"Greets!"
"Get 8 FREE issues - no risk!"
"Hi!"
"Your News Alert"
"$150 FREE Bonus!"
"Re:"
"Your Gift"
"New bonus in your cash account"
"Tools For Your Online Business"
"Daily Email Reminder"
"News"
"free shipping!"
"its easy"
"Warning!"
"SCAM alert!!!"
"Sponsors needed"
"new reading"
"CALL FOR INFORMATION!"
"25 merchants and rising"
"Cows"
"My eBay ads"
"empty account"
"Market Update Report"
"click on this!"
"fantastic"
"wow!"
"bad news"
"Lost & Found"
"New Contests"
"Today Only"
"Get a FREE gift!"
"Membership Confirmation"
"Report"
"Please Help..."
"Stats"
"I need help about script!!!"
"Interesting..."
"Introduction"
"various"
"Announceme nt"
"history screen"
"Correction of errors"
"Just a reminder"
"Payment notices"
"hmm.."
"update"
"Hello!"
Indhold: (tom - udnytter Iframe sårbarheden)
Vedhæftet: (ormen henter et tilfældigt navn fra dokument mappen på den
inficerede maskine og kan derfor også være på dansk. Den har dog predefineret
en liste, som kan danne grundlag for den vedhæftede fil hvis mappen ikke kan
findes på den inficerede maskine: "readme", "Setup", "Card", "Docs", "news",
"image", "images", "pics", "resume", "photo", "video", "music", "song", "data".
Den vedhæftede kopi af ormen vil vedhæftes med filendelsen: .pif, exe, eller scr.
For at undgå at køre flere processer på samme tid dannes en mutex, som checker om
ormen allerede findes i hukommelse eller på systemet. Hvis det sker vil ormen dræbe sig
selv fra processen.
Når ormen er blevet afviklet på systemet vil den høste e-mail adresser fra følgende
filtyper .ODS, INBOX, .MMF, .NCH, .MBX, .EML, .TBB, og .DBX. Alle gyldige e-mail adresser,
som hentes fra disse filtyper vil modtage en kopi af ormen. Den ankommer via e-mail med
følgende indhold:
Hvis en fil med følgende karakteristika findes på den inficerede maskine vil
denne blive overskrevet af ormen:
"winzip\winzip32.exe"
"kazaa\kazaa.exe"
"ICQ\Icq.exe"
"DAP\DAP.exe"
"Winamp\winamp.exe"
"AIM95\aim.exe"
"Lavasoft\Ad-awa re 6\Ad-aware.exe"
"Trillian\Trillian.exe"
"Zone Labs\ZoneAlarm\ZoneAlarm.exe"
"StreamCast\Morpheus\Morpheus.exe"
"Quic kTime\QuickTimePlayer.exe"
"WS_FTP\WS_FTP95.exe"
"MSN Messenger\msnmsgr.exe"
"ACDSee32\ACDSee32.exe"
"Adobe\Acrobat 4.0\Reader\AcroRd32.exe"
"CuteFTP\cutftp32.exe"
"Far\Far.exe"
"Outl ook Express\msimn.exe"
"Real\RealPlayer\realplay.exe"
"Windows Media Player\mplayer2.exe"
"WinRAR\WinRAR.exe"
"adobe\acrobat 5.0\reader\acrord32.exe"
"Internet Explorer\iexplore.exe"
"winhelp.exe"
"notepad.exe"
"hh.exe"
"mpl ayer.exe"
"regedit.exe"
"scandskw.exe"
Den dræber desuden flere populære software baserede sikkerhedsprodukter som f.eks.
personlige firewalls og antivirus programmer. Herunder ses en liste over processer
som dræbes af Bugbear-B:
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EX E
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE< BR>TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPH INX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE< BR>SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PER SFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PA VCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST .EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
N AVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
I FACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICL OAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.E XE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE< BR>DVP95_0.EXE.
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE< BR>CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE< BR>BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EX E
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
A VP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXEAVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN3 2.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
Bugbear-B, er endvidere en netværksorm, som spreder sig til delte ressourcer i et
lokalt netværk, eller PC'ere som er åbne for fildeling.
Efter at ormen er blevet afviklet på en PC kan den ikke længere betragtes som sikker. Der
kopieres både en keylogger (som droppes i windows systemmappen) samt et remote
administrationsværktøj til maskinen, som lytter på TCP port 1080. Via denne port, er ormen
i stand til at modtage kommandoer fra en web browser. Denne teknik kan misbruges til at opnå
adgang til filer, dokumenter og andre sensitive data på den inficerede maskine.
Denne analyse vil kunne findes på hjemmesiden på adressen:
http://www.krusesecurity.dk/advisories/bugbear-B.txt
Manse9933