Win32.BugBear.A@mm

Наслов: Win32.BugBear.A@mm 3/7/2009, 16:45

VIRUS INFO
Naziv virusa: Win32.BugBear.A@mm
Alias: Win32/Bugbear.A, Win32/Bugbear.Worm, I-Worm.Tanatos, Worm/Tanatos, Tanatos, Tanat, WORM_NATOSTA.A
Tip: Win32 izvršni fajl virus / worm
Način širenja: e-mailom sa attachmentima koji imaju ekstenziju *.EXE, *.SCR ili *.PIF
Veličina: 50688 bajtova
Destruktivan:
da
Datum aktiviranja: odmah po otvaranju e-maila ili startovanjem pristiglog attachmenta
Otkriven: 30.09.2000.

OBJAŠNJENJE
Stiže kao e-mail:
Subject: (slučajan odabir reči sa sledećeg spiska)
Hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
wow!
fantastic
click on this!
Market Update Report
empty account
My eBay ads
Cows
25 merchants and rising
CALL FOR INFORMATION!
Get 8 FREE issues - no risk!
Tools For Your Online Business
Daily Email Reminder
free shipping!
News
its easy
Your News Alert
$150 FREE Bonus!
SCAM alert!!!
Warning!
New bonus in your cash account
Your Gift
Re:
Sponsors needed
new reading
Greets!
Hi!

I pored ove liste mogućih naziva Subject linije, virus će kreirati Subject liniju slučajnim odabirom od već primljenih korisnikovih e-mailova.

Telo poruke: nasumično odabran sadržaj jednog fajla sa pošiljaočevog računara.

Attachment: fajl sa dvostrukom ekstenzijom *.EXE, *.SCR ili *.PIF (primer: ime_fajla.XLS.SCR)

Da bi napravio spisak korisnika na koje će se adrese poslati, virus pretražuje korisnikov računar u potrazi za fajlovima koji imaju sledeće ekstenzije: *.ODS, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX i *INBOX*.

Napisan je u programskom jeziku Microsoft Visual C++ 6 kompresovan sa UPX v0.76.1-1.22. Sve verzije Windowsa (Windows 95, Windows 98, Windows NT, Windows 2000, Windows Me, Windows XP) podležu ovom virusu.

Da bi se startovao svaki put kada se startuje Windows, virus ubacuje ključ u Registry bazu:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

gde se kao vrednost stavlja ime fajla koji je kreiran po nasumičnom odabiru imena a ima samo 4 karaktera. Da je u pitanju obična rutina, sledeći put kada bi se Windows startovao ovog ključa ne bi bilo, ali pošto virus svaki put kreira ovaj ključ, on će se tako startovati svaki put kada se startuje i Windows.

Virus kreira
C:\ WINDOWS \ START MENU \ PROGRAMS \ STARTUP \ CUU.EXE
(za Windows 95/98/Me)
odnosno
C:\ DOCUMENTS AND SETTINGS \ <CURRENT USER NAME> \ START MENU \ PROGRAMS \ STARTUP \ CTI.EXE
(za Windows NT/2000/XP).

Virus kreira nekoliko fajlova koje jedan broj AV programa neće detektovati kao opasne po korisnika, jer oni predstavljaju podešavanja samog virusa:
%system%\ICCYOA.DLL
%system%\LGGUQAA.DLL
%system%\ROOMUAA.DLL
%windir%\OKKQSA.DAT
%windir%\USSIWA.DAT

gde je:
%system% direktorijum C:\ WINDOWS \ SYSTEM (za Windows 95/98/Me), C:\ WINNT \ SYSTEM32 (za Windows NT/2000) ili C:\ WINDOWS \ SYSTEM32 (za Windows XP)

%windir% direktorijum C:\ WINDOWS (za Windows 95/98/Me,XP) ili C:\ WINNT (za Windows NT/2000).
Ako AV program ne obriše ove fajlove, korisnik ih može sam ručno obrisati. Pošto virus nasumično odabira imena za kreiranje fajlova, zaraženi fajlovi se od računara do računara razlikuju !!!

Virus ima rutinu kojom na svakih 30 sekundi proverava da li je startovan neki od sledećih programa, AV i firewall programi.:
ZONEALARM.EXE, WFINDV32.EXE, WEBSCANX.EXE, VSSTAT.EXE, VSHWIN32.EXE, VSECOMR.EXE, VSCAN40.EXE, VETTRAY.EXE, VET95.EXE, TDS2-NT.EXE, TDS2-98.EXE, TCA.EXE, TBSCAN.EXE, SWEEP95.EXE, SPHINX.EXE, SMC.EXE, SERV95.EXE, SCRSCAN.EXE, SCANPM.EXE, SCAN95.EXE, SCAN32.EXE, SAFEWEB.EXE, RESCUE.EXE, RAV7WIN.EXE, RAV7.EXE, PERSFW.EXE, PCFWALLICON.EXE, PCCWIN98.EXE, PAVW.EXE, PAVSCHED.EXE, PAVCL.EXE, PADMIN.EXE, OUTPOST.EXE, NVC95.EXE, NUPGRADE.EXE, NORMIST.EXE, NMAIN.EXE, NISUM.EXE, NAVWNT.EXE, NAVW32.EXE, NAVNT.EXE, NAVLU32.EXE, NAVAPW32.EXE, N32SCANW.EXE, MPFTRAY.EXE, MOOLIVE.EXE, LUALL.EXE, LOOKOUT.EXE, LOCKDOWN2000.EXE, JEDI.EXE, IOMON98.EXE, IFACE.EXE, ICSUPPNT.EXE, ICSUPP95.EXE, ICMON.EXE, ICLOADNT.EXE, ICLOAD95.EXE, IBMAVSP.EXE, IBMASN.EXE, IAMSERV.EXE, IAMAPP.EXE, FRW.EXE, FPROT.EXE, FP-WIN.EXE, FINDVIRU.EXE, F-STOPW.EXE, F-PROT95.EXE, F-PROT.EXE, F-AGNT95.EXE, ESPWATCH.EXE, ESAFE.EXE, ECENGINE.EXE, DVP95_0.EXE , DVP95.EXE, CLEANER3.EXE, CLEANER.EXE, CLAW95CF.EXE, CLAW95.EXE, CFINET32.EXE, CFINET.EXE, CFIAUDIT.EXE, CFIADMIN.EXE, BLACKICE.EXE, BLACKD.EXE, AVWUPD32.EXE, AVWIN95.EXE, AVSCHED32.EXE, AVPUPD.EXE, AVPTC32.EXE, AVPM.EXE, AVPDOS32.EXE, AVPCC.EXE, AVP32.EXE, AVP.EXE, AVNT.EXE, AVKSERV.EXE, AVGCTRL.EXE, AVE32.EXE, AVCONSOL.EXE, AUTODOWN.EXE, APVXDWIN.EXE, ANTI-TROJAN.EXE, ACKWIN32.EXE, _AVPM.EXE, _AVPCC.EXE i _AVP32.EXE.

Virus se širi i preko mreže. Zbog nemogućnosti zaraze samih mrežnih štampača (oni koji u sebi imaju ugrađene hard diskove), biće odštampana gomila nepotrebnog materijala.
Prilikom kreiranja fajlova, virus će kreirati jedan fajl sa sadržajem jednog trojanca, Trojan.KeyLogger.BugBear.A koji će otvoriti port 36794 očekujući od mediatora komande kao što su kopiranje, brisanje, startovanje/gašenje procesa, kreiranje liste fajlova, krađa šifri … . Mediator će otvoriti HTTP server na korisnikovom računaru i imaće interfejs kao web browser prilikom upravljanja računarom.

Virus koristi SMTP protokol za slanje gomile e-mailova. Prilikom slanja, virus koristi dve vrste e-mailova: u jednoj varijanti kreira e-mail koji će korisnika zaraziti odmah prilikom otvaranja pristiglog e-maila (iskorištava ranjivost IFRAME), dok će druga vrsta e-mailova biti sa klasičnim attachmentom gde će korisnik, da bi se zarazio, morati sam da startuje pristigli fajl. Nadam se da će korisnici izbeći ovu grešku i da neće startovati pristigli fajl i tako izbeći opasnost.
Virus ima rutinu za sastavljanje e-mail adresa na koje će se poslati. Primer: ako pronađe e-mail adrese a@a.com, b@b.com i c@c.com, virus će kreirati adresu c@b.com.

REŠENJE
Preuzmite cleaner.download
Windows startujete u Safe Modu i tako startujete preuzeti cleaner.