Todas emoções da categoria monoposto dos EUA
   
 
 
Home | Biblioteca | Calendário | Download | Literatura | Notícias | Segurança | Vacinas | Virus |

 Livro de Visita

 Pesquisa Vírus

 Alertas de Vírus

 Mapa Mundi

 Testes de AV

 Vírus Reais

 Portas de Trojans

 Notícias da Web

 White Papers

 Rede Segura

 Zone Alarme
Seção ACHA-VÍRUS da VÍRUS ALERTA
Biblioteca de Vírus Acha Vírus

Vírus encontrados em nossa base-de-dados:
Nome do VírusVírus do tipoOrigemData de Ataque
W32/BugBear.B@mm POLIMÓRFICO desconhecida qualquer dia
Descrição Resumida:
O W32/BugBear.B pode ser chamado de supervírus, pois realiza múltiplas ações, e se comporta com
diversos tipos de vírus diferentes. Ele é um mass-mailer (envia e-mails em massa), um worm de rede
local, um keylogger (que fica gravando os toques do teclado para descobrir senhas e logins), um
trojan tipo back-door (à espera de contato do hacker para repassar informações coletadas do
sistema), um vírus infectante de arquivos (do tipo Polimórfico, que altera seu código a cada ação), e
um terminador de arquivos de segurança (encerra a execução de anti-vírus e de firewalls). É um
portanto um supervírus, com código viral bastante complexo.

Ele se dissemina primariamente por e-mail, vindo como um anexo de tamanho 72.192 bytes, que é
executado através de um duplo clique, ou automaticamente nos sistemas que não foram atualizados
para barrar a falha de segurança, conhecida como "Incorrect Mime Header", já definida e corrigida
pela Microsoft em seu Security Bulletin MS01-020, no ano de 2001.

A ameaça se envia a todos os endereços encontrados no sistema local. Cada endereço é colocado nos
campos TO: (Para:) e From: (De:). Dessa forma, o endereço do remetente é falsificado, não
indicando o usuário que realmente está infectado. Isto tem como consequência a impossibilidade do
real infectado ser avisado pelos que receberem esse vírus e quiserem retornar a mensagem para
alertar o colega.

O vírus extrai os endereços a partir da máquina da própria vítima, de arquivos com as seguintes
extensões: .DBX, .EML, INBOX, .MBX, .MMF, .NCH, .ODS e .TBB.

Nesta nova variante do BugBear, dezenas de possíveis linhas do campo Assunto da mensagem são
utilizadas. Entre estas estão:
Announcement, bad news, CALL FOR INFORMATION!, click on this!, fantastic, Get a FREE gift!, its easy,
Please Help..., Tools For Your Online Business e Your Gift.

O worm BugBear.B se utiliza de diversas opções para preencher o campo assunto.
Algumas são strings gravadas em seu código viral (como as que estão no início deste parágrafo,
clique aqui para ver todas opções), outras são
respostas a mensagens que o vírus encontra na caixa postal do infectado. Em alguns casos parece que
o campo assunto é formado por palavras retiradas do nome de algum arquivo que esteja dentro da
pasta Meus Documentos.

O corpo da mensagem também varia bastante e muitas vezes contém fragmentos de arquivos
encontrados na máquina da vítima (na pasta Meus Documentos). Os nomes de anexos também
variam, mas podem conter as seguintes strings como Card, Docs, image, news, photo, song e video.
Em muitos casos esse nome é retirado de nomes de arquivos do usuário, ou mesmo gerados
randomicamente.

As extensões que ele utiliza são .exe, .pif e .scr, que são colocadas após uma outra extensão falsa,
colocada apenas para enganar alguns usuários, que não configuram seus sistemas para mostrar as
extensões reais dos arquivos. Assim é muito comum as primeiras extensões serem .DOC, .XLS, .JPG.
Então é possível você receber um mensagem cujo anexo seja: xpto123.jpg.pif o que poderá enganar
alguns usuários, fazendo-os pensar que seja apenas uma imagem.

Instalação e Operação do BugBear.B
O vírus se auto-copia para a pasta de "Start up" do Windows (no Windows 98 é a pasta c:\windows
\Menu Iniciar \Programas \Iniciar; no Windows 2000/XP é a pasta c:\Documents and Settings
\(nomeusuario) \Menu Iniciar \Programas \Iniciar), com um nome gerado aleatoriamente, em geral de
quatro letras, e extensão .EXE (por exemplo: BCDD.EXE).

Na propagação pela Rede Local o vírus se auto-copia para as pastas de start up das
máquinas remotas, que estiverem compartilhadas. O nome e extensão da cópia segue o padrão da
instalação na máquina local.

O componente Key Logger é instalado na pasta SYSTEM do Windows, e seu nome tem 7
letras, geradas aleatoriamente, e com a extensão DLL. Outros dois pequenos arquivos, usando nomes
similares, também são colocadas nessa pasta. Estes arquivos são encriptados, e guardam informações
coletadas na máquina contaminada. E finalmente um pequeno arquivo, também com nome gerado
aleatoriamente, mas com extensão DAT, é gerado na pasta WINDOWS.

O componente Trojan de Acesso Remoto fica escutando pela porta TCP 1.080, o que permite
que o hacker, com a ajuda do cliente desse trojan, possa ganhar acesso ao sistema contaminado. A
partir desse momento o hacker poderá fazer praticamente qualquer coisa na máquina atacada.

O componente viral Contaminador de Arquivos contamina diretamente diversos arquivos
executáveis. A lista de executáveis a serem atacados está gravada diretamente no código viral do
BugBear.B, enquanto o path real, na máquina infectada é obtido através de pesquisa na chave do
Registro:

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows
\CurrentVersion \ProgramFilesDir

Uma lista com alguns dos arquivos que o vúrus BugBear.B contamina pode ser visualizada href="/bibtec/va_bugbearb_detal.html#b">aqui.

O componente Terminador de Arquivos de Segurança desativa diversos produtos de
segurança, tanto Anti-vírus quanto Firewalls. Ele possui uma lista desses produtos, dentro de seu
código viral. A lista pode ser visualizada aqui.

Indicações de Infecção:
» Presença de um arquivo executável de nome estranho, dentro da pasta Start up do Windows
» Porta TCP 1080 aberta (em "listening")
» Problemas com acentuação dupla ao usar programas como o Word, Excel, Bloco de Notas, etc
» Em alguns casos houve relatos de impressoras imprimendo sujeira (na verdade o próprio código
viral, que foi enviado para o compartilhamento de Impressão, por falha do código viral!)



Se você possui um dos sistemas operacionais abaixo, siga o link para maiores informações:

» Windows ME clique.

» Windows XP clique.

Mais informação:
Leia artigo Vírus Bugbear.B tem alto risco e vale por 6
clicando aqui

Leia artigo Vírus Bugbear se torna ameaça de alto risco
clicando aqui
Apelidos/Variantes: PE_BugBear.B, W32.Kijmo, W32.Shamur, Win32.BugBear.B
Ir para a Biblioteca Técnica

Total de 1 vírus encontrados...

Atenção: não podemos dar suporte diretamente para os internautas
use nosso FÓRUM VÍRUS ALERTA para poder enviar suas dúvidas;
Desejando um suporte diferenciado, associe-se ao Clube do Help Desk;

Suporte|Cadastro|Consultoria|Quem Somos|

 

 
HomePesquisasComo AgemMacro-VírusMapa MundiSafe ModeSegurança Pró-ativaTestes de AVVírus ReaisWhite Papers |

Atenção: não podemos dar suporte diretamente para os internautas; use nosso FÓRUM VÍRUS ALERTA para suas dúvidas;
Desejando um suporte diferenciado e específico para suas necessidades, associe-se ao Clube do Help Desk.