Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Bugbear.B

PeligrosidadPeligrosidad alta
DañoMuy dañino
PropagaciónPoco extendido

De un vistazo

Nombre común:Bugbear.B
Nombre técnico:W32/Bugbear.B
Peligrosidad:Media
Alias:W32/Bugbear.b@mm,, Bugbear.B, PE_BUGBEAR.B, W32.Kijmo, W32.Shamur, Win32.Bugbear.B
Tipo:Virus
Efectos:  Infecta un gran número de ficheros, deshabilita los programas de seguridad, abre el puerto de comunicaciones 1080 y captura las pulsaciones de teclado que realiza el usuario del ordendor afectado, permite que un hacker gane acceso remoto a los recursos del ordenador.

Plataformas que infecta:

Windows XP/2000/NT/ME/98/95

Fecha de detección:05/06/2003
Detección actualizada:14/05/2009
EstadísticasNo
Protección proactiva:
Sí, mediante las Tecnologías TruPrevent
Utilidad de reparación:Panda QuickRemover

Descripción Breve 

    

Bugbear.B es un gusano peligroso que se propaga de manera masiva a través del correo electrónico y de unidades de red compartidas.

Es muy fácil infectarse con él, ya que se activa automáticamente tan sólo con visualizar el mensaje a través de la Vista previa de Outlook. Para conseguirlo, aprovecha la vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5) que permite la ejecución automática de los ficheros de los mensajes de correo. Esta vulnerabilidad se llama Exploit Iframe. Sin embargo, no siempre aprovecha dicha vulnerabilidad para producir la infección.

Bugbear.B lleva a cabo varias acciones en el ordenador afectado:

  • Cuenta con una extensa lista de dominios pertenecientes, principalmente, a entidades financieras. Si detecta que la cuenta de correo predeterminada corresponde a una de esos dominios, recopila las contraseñas de acceso telefónico a redes y las envía por correo electrónico.
  • Infecta numerosos ficheros.
  • Detiene procesos activos en el ordenador relacionados con programas de seguridad.
  • Abre el puerto de comunicaciones 1080, con lo que permite que un hacker gane acceso, de manera remota, a los recursos del ordenador.
  • Captura las pulsaciones de teclado que realiza el usuario del ordenador afectado y las recopila en un fichero. De este modo, si un hacker consigue acceder a este fichero, podrá conocer información confidencial, como son las contraseñas a ciertos servicios de Internet, cuentas bancarias...

Bugbear.B es un gusano polimórfico, lo que complica su detección por parte de los programas antivirus.

Síntomas Visibles

    

Bugbear.B resulta difícil de reconocer a simple vista ya que no muestra mensajes o avisos que alerten sobre su presencia.

Cuando este gusano trata de crear una copia de sí mismo en distintas unidades de red, no comprueba si esta unidad es una impresora compartida. En caso de que lo sea, ésta impresora comenzará a imprimir papeles con caracteres basura.

Detalles técnicos

Efectos

Bugbear.B produce los siguientes efectos en el ordenador afectado:

  • Este gusano cuenta con un fichero que contiene a una lista predeterminada de direcciones de correo electrónico pertenecientes, principalmente, a entidades financieras. Bugbear.B comprueba en el Registro de Windows si el ordenador afectado pertenece a alguna de esas entidades. En caso positivo, busca las las contraseñas cacheadas de la conexión telefónica a redes y las envía a las siguientes direcciones de correo:
    ifrbr@canada.com
    sdorad@juno.com
    fbnfgh@email.ro
    eruir@hotpop.com

    ersdes@truthmail.com

    eofb2@blazemail.com
    ioter5@yook.de
    iuery@myrealbox.com
    jkfhw@wildemail.com

    ds2iahf@kukamail.com

    Para enviar este mensaje, Bugbear.B activa la opción AutoDial modificando una clave del Registro de Windows. Con ello consigue no pedir confirmación al realizar las conexiones a red a través de módem.

  • Infecta numerosos ficheros que encuentra en el ordenador. Estos ficheros son:
    %windir%\SCANDSKW.EXE
    %windir%\REGEDIT.EXE
    %windir%\MPLAYER.EXE
    %windir%\HH.EXE
    %windir%\NOTEPAD.EXE
    %windir%\WINHELP.EXE
    %programfiles%\INTERNET EXPLORER\IEXPLORE.EXE 
    %programfiles%\ADOBE\ACROBAT 5.0\READER\ACRORD32.EXE
    %programfiles%\WINRAR\WINRAR.EXE
    %programfiles%\WINDOWS MEDIA PLAYER\MPLAYER2.EXE  
    %programfiles%\REAL\REALPLAYER\REALPLAY.EXE   
    %programfiles%\OUTLOOKEXPRESS\MSIMN.EXE  
    %programfiles%\FAR\FAR.EXE
    %programfiles%\CUTEFTP\CUTFTP32.EXE   
    %programfiles%\ADOBE\ACROBAT 4.0\READER\ACRORD32.EXE
    %programfiles%\ACDSEE32\ACDSEE32.EXE  
    %programfiles%\MSN MESSENGER\MSNMSGR.EXE  
    %programfiles%\WS_FTP\WS_FTP95.EXE
    %programfiles%\QUICKTIME\QUICKTIMEPLAYER.EXE  
    %programfiles%\STREAMCAST\MORPHEUS\MORPHEUS.EXE   
    %programfiles%\ZONE LABS\ZONEALARM\ZONEALARM.EXE
    %programfiles%\TRILLIAN\TRILLIAN.EXE  
    %programfiles%\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE   
    %programfiles%\AIM95\AIM.EXE  
    %programfiles%\WINAMP\WINAMP.EXE 
    %programfiles%\DAP\DAP.EXE
    %programfiles%\ICQ\ICQ.EXE
    %programfiles%\KAZAA\KAZAA.EXE
    %programfiles%\WINZIP\WINZIP32.EXE)
    donde %windir% es el directorio de Windows y %programfiles% es el directorio Archivos de programa.

  • Estos ficheros corresponden a distintas aplicaciones informáticas que no dejarán de funcionar. Sin embargo, cada vez que se ejecute cada una de esas aplicaciones (KaZaA, Winzip, Internet Explorer, etc.), se ejecutará al mismo tiempo el gusano.
  • En ocasiones se comporta como un troyano de tipo backdoor, permitiendo que un hacker gane acesso de forma remota a los recursos del ordenador y pueda llevar a cabo las siguientes acciones:
    - Listar, iniciar y terminar procesos.
    - Listar, copiar y borrar ficheros.
    - Enviar los ficheros en los que recoge las pulsaciones de teclado generadas por el usuario.
    - Enviar información confidencial de la máquina del usuario atacado.
    - Listar los recursos de red y sus características.
    - Abrir un servidor HTTP para interactuar desde el exterior a través de una interfaz web.

  • Comprueba una serie de procesos en el ordenador relacionados con programas de seguridad. Si se encuentran activos, los finaliza. Con ello, detiene la ejecución de estos programas. Si quiere comprobar cuales son estos procesos, pulse aquí.
  • Abre el puerto de comunicaciones 1080, con lo que permite que un hacker gane acceso, de manera remota, al ordenador afectado.
  • Captura las pulsaciones de teclado que realiza el usuario del ordenador afectado y las recopila en un fichero que posteriormente envía por correo electrónico. Envía este fichero cuando su tamaño sobrepasa los 25.000 Bytes de tamaño o cada dos horas.

Metodo de Infección

Bugbear.B crea los siguientes ficheros:

  • ????.EXE, en el directorio de inicio de Windows. Al crearlo en este directorio, consigue ejecutarse cada vez que se inicia el sistema. Para saber cual es el directorio de inicio de Windows, Bugbear.B lee la siguiente clave del Registro de Windows:
    HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Shell Folders\ Common Startup = directorio de inicio del usuario
  • ???????.DLL, en el directorio de sistema de Windows. Tiene un tamaño de 5632 Bytes. Este fichero es el encargado de capturar las pulsaciones de teclado que realiza el usuario del ordenador afectado. Este fichero es detectado por Panda Software como PSWBugbear.B.
  • ~PHQGHUM.TMP o SPHQGHUM.TMP en el directorio de ficheros temporales de Windows. El nombre de este fichero es uno u otro en función de si el gusano lo está utilizando o no.
  • También crea varias librerías de enlace dinámico que contienen datos encriptados con información recogida o generada por el gusano.

Método de Propagación

Bugbear.B se propaga principalmente a través del correo electrónico y de unidades de red compartidas.

1- Propagación a través del correo electrónico:

Para conseguir propagarse a través del correo, Bugbear.B sigue el siguiente proceso:

  • Lee la siguiente clave del Registro de Windows para obtener el servidor de correo:
    HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Internet Account Manager
  • Además, el propio gusano contiene una lista de dominios con posibles servidores de correo.
  • Busca direcciones de correo electrónico en todos los ficheros que encuentra con alguna de las siguientes cadenas de texto: DBX, TBB, EML, MBX, NCH, MMF, INBOX y ODS.
  • A las direcciones de correo que encuentra les envía una copia del gusano. Para hacerlo utiliza su propio motor SMTP. Este mensaje tendrá las siguientes características:

    Asunto:
    Get 8 FREE issues - no risk!
    Hi!
    Your News Alert
    $150 FREE Bonus!
    Re:
    Your Gift
    New bonus in your cash account
    Tools For Your Online Business
    Daily Email Reminder
    News
    free shipping!
    its easy
    Warning!
    SCAM alert!!!
    Sponsors needed
    new reading
    CALL FOR INFORMATION!
    25 merchants and rising
    Cows
    My eBay ads
    empty account
    Market Update Report
    click on this!
    fantastic
    wow!
    bad news
    Lost & Found
    New Contests
    Today Only
    Get a FREE gift!
    Membership Confirmation
    Report
    Please Help...
    Stats
    I need help about script!!!
    Interesting...
    Introduction
    various
    Announcement
    history screen
    Correction of errors
    Just a reminder
    Payment notices
    hmm..
    update
    Hello!

    Fichero adjunto. Resulta muy variable.
    Puede ser uno de los siguientes:
    DATA
    SONG
    MUSIC
    VIDEO
    PHOTO
    RESUME
    PICS
    IMAGES
    IMAGE
    NEWS
    DOCS
    CARD
    SETUP
    README

    El fichero tendrá una o dos de las siguientes extensiones: EXE, SCR y PIF.

    En otras ocasiones, Bugbear.B copia el nombre de algún fichero que encuentre en el directorio personal del usuario (indicado por la siguiente clave del Registro: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Shell Folders\ Personal), o bien copia el nombre de ficheros ubicados en el directorio My Documents, y que tengan alguna de estas extensiones : REG, INI, BAT, DIZ, TXT, CPP, HTML, HTM, JPEG, JPG, GIF, CPL, DLL, VXD, SYS, COM, EXE o BMP.

  • Bugbear.B no envía mensajes a ninguna dirección de correo que contenga alguna de las siguientes palabras:
    majordom
    ticket
    talk
    list
    localdomain
    localhost
    nobody@
    root@
    postmaster@
    mailer-daemon
    trojan
    virus
    lyris
    noreply
    recipients
    undisclosed
    spam
    remove
  • El receptor del mensaje quedará infectado tan sólo con visualizar el mensaje a través de la Vista previa de Outlook, puesto que Bugbear.B aprovecha la vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5) que permite la ejecución automática de los ficheros de los mensajes de correo. Esta vulnerabilidad se llama Exploit Iframe. Sin embargo, no siempre aprovecha dicha vulnerabilidad para producir la infección.

2- Propagación a través de unidades de red compartidas:

  • Bugbear.B comprueba si el ordenador afectado está conectado a una red. En caso positivo, busca unidades de red. En las que encuentra crea una copia de sí mismo en el directorio de inicio.
  • Cuando esa unidad de red se reinicia, queda infectada automáticamente por Bugbear.B .
  • La copia en red, en el directorio de inicio de equipos con diferentes sistemas operativos o idiomas puede no ser posible debido a que el gusano supone que, en la máquina remota a la que desea propagarse, ese directorio tiene la misma ruta que la máquina local.

NOTA: Bugbear.B no comprueba si las unidades compartidas en las que trata de crear una copia de sí mismo son impresoras compartidas. En caso de que Bugbear.C trate de copiarse en una impresora compartida, ésta comenzará a imprimir caracteres basura.

Otros Detalles

Para que conozca un poco mejor a Bugbear.B, aquí le presentamos alguna de sus características:

  • Está escrito en el lenguaje de programación Visual C.
  • El gusano tiene un tamaño de 72.192 Bytes y está comprimido con UPX modificado.
  • Crea un mutex y le asigna el nombre W32SHAMUR. Con ello, Bugbear.B consigue saber si ya se está ejecutando en el ordenador. En caso positivo, no se vuelve a ejecutar.

Solución

Ver solución