[SECURITY-L] CAIS-Alerta: Propagacao do worm W32.BugBear.B
Daniela Regina Barbetti Silva
daniela em ccuec.unicamp.br
Sex Jun 6 13:23:31 -03 2003
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Propagacao do worm W32.BugBear.B
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 6 Jun 2003 13:03:59 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS tem detectado, desde a manha de 05/06/2003, um aumento
significativo nas atividades de uma nova variante do virus BugBear,
conhecido como W32.BugBear.B.
O W32.BugBear.B e´ virus do tipo worm que contem as mesmas funcionalidades
de seu antecessor, mais algumas capacidades de infeccao de arquivos e
criacao de backdoor. Em uma analise feita pelo CAIS, foi possivel
identificar as seguintes funcionalidades do virus:
. Transmissao atraves de anexo em e-mail. O virus se utiliza de um bug no
Microsoft Internet Explorer para tentar se executar automaticamente
quando a vitima visualiza o e-mail. Caso o bug esteja corrigido, o anexo
deve ser executado para o virus infectar a maquina. Repare que no
primeiro caso, a infeccao pode ocorrer sem sequer o arquivo ter sido
executado pelo usuario.
O nome do anexo pode ser formado por uma lista de nomes pré-definidos,
mais qualquer uma das extensoes .EXE, .PIF ou .SCR. Ex: photo.exe ou
readme.scr.
. Apos a infeccao, o virus se copia automaticamente para o diretorio
de inicializacao do Windows. Este diretorio pode ser "C:\Windows\All
Users\Start Menu\Programs\StartUp", ou entao "C:\Documents and
Settings\All Users\Start Menu\Programs\Startup", dependendo de sua
versao do Windows. O nome do arquivo e´ composto de 4 letras aleatorias,
mais a extensao .EXE.
. Transmissao atraves de compartilhamentos do Windows. O virus tenta
identificar na rede, maquinas com o compartilhamento aberto (sem senha),
e se copia para os diretorios de inicializacao do Windows das maquinas
remotas.
. Coleta de todos os enderecos de e-mails armazenados no computador da
vitima. Todos os e-mails armazenados no "Address Book" do Outlook, ou
em arquivos de cookies, arquivos temporarios do Internet Explorer,
arquivos texto ou com as seguintes extensoes: .ODS, INBOX, .MMF, .NCH,
.MBX, .EML, .TBB, .DBX. O virus tenta entao descobrir no registro do
Windows as configuracoes de servidor de e-mail SMTP, e comeca a enviar
mensagens infectadas para todos os enderecos encontrados. O subject e o
texto da mensagem contem fragmentos de e-mails e textos encontrados no
computador da propria vitima, por isso os e-mails "parecem" bastante
reais.
. O virus tenta desativar uma serie de programas de antivirus e firewall
pessoais instalados.
. Diferente da versao original do virus, esta variante tambem tenta
infectar uma serie de programas bastante utilizados, tais como Kazaa,
Winamp, Media Player, Real Audio Player, Internet Explorer, Notepad,
ICQ, Winzip, entre outros.
. Um "keylogger" e´ executado junto com o virus. O keylogger e´ um
programa que captura todas as teclas digitadas pelo usuario, e armazena
em um arquivo criptografado. Assim, o virus consegue capturar senhas de
banco, cartoes de credito e informacoes digitadas pelo usuario. O
keylogger é instalado no diretorio SYSTEM ou SYSTEM32 do Windows. O nome
do arquivo é composto de 7 letras aleatorias, com extensao .DLL. Dois
outros arquivos .DLL, com nomes de 7 letras aleatorias, sao criados no
mesmo diretorio.
. O virus abre um backdoor na porta 1080 da maquina infectada. Este
backdoor permite que um atacante entre posteriormente na maquina e tenha
controle sobre a mesma.
Como remover o virus?
=====================
A remocao do virus pode ser feita com versoes atualizadas de antivirus.
Para remocao completa dos arquivos do virus, lembre-se de iniciar o
computador em "safe-mode". Basta reiniciar o computador, e logo apos a
mensagem de boot, pressionar a tecla F8.
Se o sistema operacional utilizado pelo usuario e´ o Windows ME ou Windows
XP, sera´ necessario desativar a opcao de "System Restore". Veja a URL
abaixo para saber como proceder:
. http://vil.nai.com/vil/SystemHelpDocs/DisableSysRestore.htm
Caso o virus tenha infectado arquivos de aplicacoes, talvez seja
necessario reinstalar os mesmos. Isto porque existe a possibilidade do
antivirus nao poder prosseguir com a desinfeccao, e neste caso, tais
arquivos serao completamente removidos. Sendo assim, como medida
preventiva, o CAIS sugere que se mantenha uma lista de tudo que o
antivirus remover, para proceder com a reinstalacao apos a desinfeccao.
Maiores informacoes sobre W32.BugBear.B podem ser encontradas nas URLs
abaixo:
. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_BUGBEAR.B
. http://www.symantec.com/avcenter/venc/data/w32.bugbear.b@mm.html
. http://securecomputing.stanford.edu/alerts/bugbear.html
. http://www.messagelabs.com/viruseye/info/default.asp?virusname=W32/BugBear.B-mm
Baseado nestas informacoes, o CAIS recomenda fortemente a todos os
usuarios que mantenham seus antivírus sempre atualizados, com frequencia
diaria ou de forma automatica, e nao abram anexos de qualquer especie sem
antes analisa´-lo com um antivirus, e mesmo assim se certificar da
autenticidade do endereco de origem do e-mail.
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBPuC7kekli63F4U8VAQFAHgQAolgL7A62xTu4AbGiPc2VBMBWgRdPERS8
4yCxIgn6qvZabfMyXR5XEDp78Y4A6pzJiMiPzsFYBe2wq3cTx3MWTPWSMtsB2njM
qMgntoumg53OBTUF0FS4vcS8AvlU945Je23Y1okvG30iYwWCRG0bVPYnSPACFo85
l9GqtpuYaZ8=
=9Y/9
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L