[SECURITY-L] Noticias-CAIS: Novo vírus Bugbear.B coloca internet em estado de alerta

[Daniela Regina Barbetti Silva]

----- Forwarded message from Jacomo Dimmit Boca Piccolini <jacomo em cais.rnp.br> -----

From: Jacomo Dimmit Boca Piccolini <jacomo em cais.rnp.br>
Subject: [SUP-CAIS] Noticias-CAIS: Novo vírus Bugbear.B coloca internet em estado de alerta
To: Noticias de Seguranca do CAIS <sup-cais em rnp.br>
Date: Thu, 5 Jun 2003 13:30:32 -0300 (BRT)


http://www1.folha.uol.com.br/folha/informatica/ult124u13106.shtml

Novo vírus Bugbear.B coloca internet em estado de alerta
da Folha Online

Um nova variante do vírus Bugbear está se espalhando rapidamente pela
internet. Chamado Bugbear.B, ele é muito complexo porque conta com
diferentes formas de disseminação --infecta por e-mail ou pelas redes de
troca de arquivos como o Kazaa. A praga ainda instala um programa que dá
acesso remoto ao PC pela internet.

O Bugbear.B se envia a todos os endereços e-mails encontrados no sistema
local. Para tanto, ele procura em arquivos de extensões .dbx, .eml, Inbox,
.mbx, .mmf, .nch, .ods, .tbb. e usa como remetente e-mails aleatórios --o
que dificulta encontrar o usuário realmente infectado.

O vírus também usa palavras e nomes de arquivos contidos no sistema
contaminado. Na variante Bugbear.B, as possíveis linhas do campo Assunto
da mensagem incluem frases como "Announcement" (Anúncio), "Bad News" (Más
notícias), "Click on this" (Clique nisso), "Fantastic" etc.

Já o corpo da mensagem varia e pode conter fragmentos de arquivos
encontrados na máquina da vítima. Os nomes de anexos também variam, mas
podem conter os seguintes nomes: "Card", "Docs", "image", "music", "news",
"video", entre outros.

As mensagens enviadas visam explorar a vulnerabilidade do cabeçalho MIME
do Internet Explorer 5.01 ou 5.5, nos PCs que ainda não tenham instalado o
Service Pack 2. A partir daí, o Bugbear.B se copia para a pasta
Inicializar usando um nome de arquivo aleatório

Sua propagação também é feita através de cópias para a pasta Inicializar
de máquinas remotas na rede.

Cavalo de Tróia

Já o cavalo de Tróia no Bugbear.B, usado para o acesso remoto ao
computador da vítima, usa a porta TCP 1080, permitindo ao invasor acessar
e controlar o sistema comprometido.

O vírus tenta infectar executáveis específicos, que estejam dentro de
Arquivos de Programas. No entanto, ele também tenta infectar arquivos como
o mplayer.exe, notepad.exe, acrord32.exe, aim.exe, icq.exe, iexplore.exe,
kazaa.exe, msnmsgr.exe, entre outros. Todos programas bastante populares,
instalados em grande número de PCs em todo o mundo.

Finalmente, o Bugbear.B interrompe os processos de programas de segurança
que estejam carregados na máquina.

Perigosa

A nova praga está recebendo atenção especial de empresas de antivírus como
a McAfee e Sophos.

A McAfee já disponibilizou a vacina
(http://vil.nai.com/vil/content/v_100358.htm), e a Sophos (www.sophos.com)
até modificou o layout de seu site para torná-lo mais leve. A empresa
explica que o site está recebendo um número muito alto de acessos de
usuários em busca de informações sobre a nova praga.

O vírus surgiu hoje e até a hora em que essa nota foi publicada, os
servidores da Folha Online já haviam barrado uma série de tentativas de
ataque do Bugbear.B.

Assim, vale lembrar a importância de fazer a rápida e frequente
atualização dos programas de segurança.

----- End forwarded message -----