VIRUS INFO
|
| Naziv
virusa: |
Win32.BugBear.A@mm |
| Alias:
|
Win32/Bugbear.A,
Win32/Bugbear.Worm, I-Worm.Tanatos,
Worm/Tanatos, Tanatos, Tanat, WORM_NATOSTA.A
|
| Tip: |
Win32
izvršni fajl virus / worm |
| Način
širenja: |
e-mailom
sa attachmentima koji imaju ekstenziju
*.EXE, *.SCR ili *.PIF |
| Veličina: |
50688
bajtova |
Destruktivan:
|
da |
| Datum
aktiviranja: |
odmah
po otvaranju e-maila ili startovanjem
pristiglog attachmenta |
| Otkriven:
|
30.09.2000. |
OBJAŠNJENJE
Stiže
kao e-mail:
Subject: (slučajan odabir reči sa sledećeg
spiska)
Hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
wow!
fantastic
click on this!
Market Update Report
empty account
My eBay ads
Cows
25 merchants and rising
CALL FOR INFORMATION!
Get 8 FREE issues - no risk!
Tools For Your Online Business
Daily Email Reminder
free shipping!
News
its easy
Your News Alert
$150 FREE Bonus!
SCAM alert!!!
Warning!
New bonus in your cash account
Your Gift
Re:
Sponsors needed
new reading
Greets!
Hi!
I
pored ove liste mogućih naziva
Subject linije, virus će kreirati Subject
liniju slučajnim odabirom od već primljenih
korisnikovih e-mailova.
Telo
poruke: nasumično odabran sadržaj jednog
fajla sa pošiljaočevog računara.
Attachment:
fajl sa dvostrukom ekstenzijom *.EXE,
*.SCR ili *.PIF (primer:
ime_fajla.XLS.SCR)
Da
bi napravio spisak korisnika na koje će
se adrese poslati, virus pretražuje korisnikov
računar u potrazi za fajlovima koji imaju
sledeće ekstenzije: *.ODS, *.MMF,
*.NCH, *.MBX, *.EML,
*.TBB, *.DBX i *INBOX*.
Napisan
je u programskom jeziku Microsoft Visual
C++ 6 kompresovan sa UPX v0.76.1-1.22.
Sve verzije Windowsa (Windows 95, Windows
98, Windows NT, Windows 2000, Windows
Me, Windows XP) podležu ovom virusu.
Da
bi se startovao svaki put kada se startuje
Windows, virus ubacuje ključ u Registry
bazu:
HKEY_LOCAL_MACHINE \ Software \ Microsoft
\ Windows \ CurrentVersion \ RunOnce
gde
se kao vrednost stavlja ime fajla koji
je kreiran po nasumičnom odabiru imena
a ima samo 4 karaktera. Da je u pitanju
obična rutina, sledeći put kada bi se
Windows startovao ovog ključa ne bi bilo,
ali pošto virus svaki put kreira ovaj
ključ, on će se tako startovati svaki
put kada se startuje i Windows.
Virus
kreira
C:\ WINDOWS \ START MENU \ PROGRAMS
\ STARTUP \ CUU.EXE
(za Windows 95/98/Me)
odnosno
C:\ DOCUMENTS AND SETTINGS \ <CURRENT
USER NAME> \ START MENU \ PROGRAMS
\ STARTUP \ CTI.EXE
(za Windows NT/2000/XP).
Virus
kreira nekoliko fajlova koje jedan broj
AV programa neće detektovati kao opasne
po korisnika, jer oni predstavljaju podešavanja
samog virusa:
%system%\ICCYOA.DLL
%system%\LGGUQAA.DLL
%system%\ROOMUAA.DLL
%windir%\OKKQSA.DAT
%windir%\USSIWA.DAT
gde
je:
%system% direktorijum C:\
WINDOWS \ SYSTEM (za Windows 95/98/Me),
C:\ WINNT \ SYSTEM32 (za Windows
NT/2000) ili C:\ WINDOWS \ SYSTEM32
(za Windows XP)
%windir%
direktorijum C:\ WINDOWS (za
Windows 95/98/Me,XP) ili C:\ WINNT
(za Windows NT/2000).
Ako AV program ne obriše ove fajlove,
korisnik ih može sam ručno obrisati. Pošto
virus nasumično odabira imena za kreiranje
fajlova, zaraženi fajlovi se od računara
do računara razlikuju !!!
Virus ima rutinu kojom na svakih 30 sekundi
proverava da li je startovan neki od sledećih
programa, AV i firewall programi.:
ZONEALARM.EXE, WFINDV32.EXE,
WEBSCANX.EXE, VSSTAT.EXE,
VSHWIN32.EXE, VSECOMR.EXE,
VSCAN40.EXE, VETTRAY.EXE,
VET95.EXE, TDS2-NT.EXE,
TDS2-98.EXE, TCA.EXE,
TBSCAN.EXE, SWEEP95.EXE,
SPHINX.EXE, SMC.EXE,
SERV95.EXE, SCRSCAN.EXE,
SCANPM.EXE, SCAN95.EXE, SCAN32.EXE, SAFEWEB.EXE,
RESCUE.EXE, RAV7WIN.EXE, RAV7.EXE, PERSFW.EXE,
PCFWALLICON.EXE, PCCWIN98.EXE, PAVW.EXE,
PAVSCHED.EXE, PAVCL.EXE, PADMIN.EXE, OUTPOST.EXE,
NVC95.EXE, NUPGRADE.EXE, NORMIST.EXE,
NMAIN.EXE, NISUM.EXE, NAVWNT.EXE, NAVW32.EXE,
NAVNT.EXE, NAVLU32.EXE, NAVAPW32.EXE,
N32SCANW.EXE, MPFTRAY.EXE, MOOLIVE.EXE,
LUALL.EXE, LOOKOUT.EXE, LOCKDOWN2000.EXE,
JEDI.EXE, IOMON98.EXE, IFACE.EXE, ICSUPPNT.EXE,
ICSUPP95.EXE, ICMON.EXE, ICLOADNT.EXE,
ICLOAD95.EXE, IBMAVSP.EXE, IBMASN.EXE,
IAMSERV.EXE, IAMAPP.EXE, FRW.EXE, FPROT.EXE,
FP-WIN.EXE, FINDVIRU.EXE, F-STOPW.EXE,
F-PROT95.EXE, F-PROT.EXE, F-AGNT95.EXE,
ESPWATCH.EXE, ESAFE.EXE, ECENGINE.EXE,
DVP95_0.EXE , DVP95.EXE, CLEANER3.EXE,
CLEANER.EXE, CLAW95CF.EXE, CLAW95.EXE,
CFINET32.EXE, CFINET.EXE, CFIAUDIT.EXE,
CFIADMIN.EXE, BLACKICE.EXE, BLACKD.EXE,
AVWUPD32.EXE, AVWIN95.EXE, AVSCHED32.EXE,
AVPUPD.EXE, AVPTC32.EXE, AVPM.EXE, AVPDOS32.EXE,
AVPCC.EXE, AVP32.EXE, AVP.EXE, AVNT.EXE,
AVKSERV.EXE, AVGCTRL.EXE, AVE32.EXE, AVCONSOL.EXE,
AUTODOWN.EXE, APVXDWIN.EXE, ANTI-TROJAN.EXE,
ACKWIN32.EXE, _AVPM.EXE, _AVPCC.EXE i
_AVP32.EXE.
Virus se širi i preko mreže. Zbog nemogućnosti
zaraze samih mrežnih štampača (oni koji
u sebi imaju ugrađene hard diskove), biće
odštampana gomila nepotrebnog materijala.
Prilikom kreiranja fajlova, virus će kreirati
jedan fajl sa sadržajem jednog trojanca,
Trojan.KeyLogger.BugBear.A koji
će otvoriti port 36794 očekujući od mediatora
komande kao što su kopiranje, brisanje,
startovanje/gašenje procesa, kreiranje
liste fajlova, krađa šifri … . Mediator
će otvoriti HTTP server na korisnikovom
računaru i imaće interfejs kao web browser
prilikom upravljanja računarom.
Virus
koristi SMTP protokol za slanje gomile
e-mailova. Prilikom slanja, virus koristi
dve vrste e-mailova: u jednoj varijanti
kreira e-mail koji će korisnika zaraziti
odmah prilikom otvaranja pristiglog e-maila
(iskorištava ranjivost IFRAME), dok će
druga vrsta e-mailova biti sa klasičnim
attachmentom gde će korisnik, da bi se
zarazio, morati sam da startuje pristigli
fajl. Nadam se da će korisnici izbeći
ovu grešku i da neće startovati pristigli
fajl i tako izbeći opasnost.
Virus ima rutinu za sastavljanje e-mail
adresa na koje će se poslati. Primer:
ako pronađe e-mail adrese a@a.com,
b@b.com i c@c.com, virus
će kreirati adresu c@b.com.
REŠENJE
Preuzmite
cleaner. 
Windows startujete u Safe Modu i tako
startujete preuzeti cleaner.
|
