[SECURITY-L] Virus Bugbear se torna ameaca de alto risco

[Daniela Regina Barbetti Silva]

----- Forwarded message from Rafael R Obelheiro <rro em das.ufsc.br> -----

From: Rafael R Obelheiro <rro em das.ufsc.br>
Subject: [S] Vírus Bugbear se torna ameaça de alto risco
To: seguranca em pangeia.com.br
Date: Fri, 6 Jun 2003 15:49:57 -0300
Organization: DAS-UFSC

[ Outras noticias dao conta de que este virus atingiu nivel 4 em uma 
  escala de 1 a 5, e que o Brasil e' o segundo pais mais infectado. 
  Maiores informacoes, incluindo formas de prevencao, podem ser 
  encontradas em http://informatica.terra.com.br/virusecia/index.html , 
  mas a opcao mais eficaz parece ser abandonar o Outlook.  --rro ]

[http://idgnow.terra.com.br/idgnow/internet/2003/06/0018]

Vírus Bugbear se torna ameaça de alto risco

Quinta-feira, 5 de Junho de 2003 - 12h43


A McAfee Security alerta para o aparecimento do W32/Bugbear.b em MM, que
passou a ser classificado como ameaça de alto risco. A vacina para a
ameaça já encontra-se disponível no site da McAfee, juntamente com as
informações do vírus. Para acessá-la, clique aqui.

De origem desconhecida, a nova variante do vírus Bugbear é um vírus
polimórfico, com capacidade de se propagar por e-mail e via
compartilhamento de rede, além de interromper os processos de sofwares
de segurança, que estejam carregados na máquina.

A ameaça se envia a todos os endereços encontrados no sistema local.
Cada endereço é colocado nos campos TO: (Para:) e From: (De:). Dessa
forma, o endereço do remetente é falsificado, não indicando o usuário
realmente infectado.

O vírus extrai os endereços a partir da máquina da vítima, de arquivos
com as seguintes extensões: .DBX, .EML, INBOX, .MBX, .MMF, .NCH, .ODS
e .TBB.

Nesta nova variante do BugBear, dezenas de possíveis linhas do campo
Assunto da mensagem são utilizadas. Entre estas estão: Announcement,
bad news, CALL FOR INFORMATION!, click on this!, fantastic, Get a FREE
gift!, its easy, Please Help..., Tools For Your Online Business e Your
Gift.

O corpo da mensagem varia e pode conter fragmentos de arquivos
encontrados na máquina da vítima. Os nomes de anexos também variam,
mas podem conter as seguintes strings como Card, Docs, image, news,
photo, song e video. As extensões são .exe, .pif e .scr.

Sua propagação também é feita através de cópias para a pasta Startup
de máquinas remotas na rede. O Cavalo de Tróia de acesso remoto abre a
porta TCP 1080, permitindo ao invasor acessar e "comandar" o sistema
comprometido.

O vírus infecta dezenas de executáveis da máquina como: mplayer.exe,
AIM95\aim.exe, CuteFTP\cutftp32.exe, ICQ\Icq.exe, Internet
Explorer\iexplore.exe, kazaa\kazaa.exe, MSN Messenger\msnmsgr.exe,
Outlook Express\msimn.exe, QuickTime\QuickTimePlayer.exe,
Real\RealPlayer\realplay.exe, Windows Media Player\mplayer2.exe, entre
outros.

Qualquer suspeita ou dúvidas quanto ao novo vírus, podem ser
encaminhadas para o serviço WebImmune (www.webimmune.net). O site
esclarece, gratuitamente, se há ou não infecção.



----- End forwarded message -----