[SECURITY-L] Novo worm/trojan aparece: e' o W32/BugBear em mm

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Qua Out 2 16:54:18 -03 2002 

----- Forwarded message from Andre Aparecido Nogueira <andre em agr.unicamp.br> -----

From: Andre Aparecido Nogueira <andre em agr.unicamp.br>
Subject: Novo worm/trojan aparece: é o W32/BugBear em mm
To: undisclosed-recipients: ;
Date: Wed, 02 Oct 2002 12:58:41 -0300

*Novo worm/trojan aparece: é o W32/BugBear em mm*
			  
			      
	*Autor:* Francisco Panizo  -  *Fonte:* Vírus Alerta
			  
   
			  (id_news # 104 - incluída em 30/9/2002 23:47:27)

Com cerca de meia dúzia de infecções relatadas nas primeiras horas da 
descoberta de uma nova praga, algumas empresas, como a McAfee por 
exemplo, têm colocado essa praga em seu nível de alerta médio. Um dos 
casos, descobertos hoje, aconteceu no Brasil, os demais foram na 
América do Norte (EUA e México).

Esse worm tenta se enviar para todos os endereços de e-mail que ele 
encontra nos sistemas infectados. Um avez ativo na memória ele tenta 
desativar diversos produtos Anti-vírus e Firewall. Ele também instala 
um trojan backdoor na máquina, com o objetivo de capturar tudo que o 
usuário digita (senhas, números de cartões de crédito, etc).

Além da rotina de se espalhar por e-mail, o BugBear também se utiliza 
dos compartilhamentos das redes locais, o que o torna naqueles vírus 
chatos de se remover, pois o usuário descuidado quando acaba de limpar 
uma máquina, ela já pode estar sendo recontaminada.

Os anexos, que devem ser executados para que o micro se torne 
contaminado, têm vários nomes, mas todos com a tradicional dupla 
extensão. Entre as dezenas de ASSUNTOS que ele utiliza para enganar os 
usuários, destacamos:

Found 
150 FREE Bonus! 
25 merchants and rising 
Announcement 
bad news 
CALL FOR INFORMATION! 
click on this! 
Correction of errors 
Cows 
Daily Email Reminder 
free shipping! 
Get 8 FREE issues - no risk! 
Get a FREE gift! 
Greets! 
Hello! 
hotmail. 
I need help about script 
Interesting 
Lost 
Market Update Report 
Membership Confirmation 
My eBay ads 
New bonus in your cash account 
New Contests 
Payment notices 
Please Help 
Report 
SCAM alert 
Stats 
Today Only 
Warning! 
Your Gift 
Your News Alert 

O worm é originário da Malásia, e o anexos tem um tamamnho de 50.688 
bytes ou 50.664 bytes, e ele foi escrito em Visual C++ (uma linguagem 
de programação da Microsoft).


------------------------------------------------------------------------

-- 
      Andre Aparecido Nogueira
      Faculdade de Eng. Agricola - UNICAMP
      Adm. de Redes Windows_NT e LINUX/Suporte aos Usuarios.

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L