Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Bugbear.B | |
Peligrosidad Daño Propagación |
De un vistazo
| |
Nombre común: | Bugbear.B |
Nombre técnico: | W32/Bugbear.B |
Peligrosidad: | Media |
Alias: | W32/Bugbear.b@mm,, Bugbear.B, PE_BUGBEAR.B, W32.Kijmo, W32.Shamur, Win32.Bugbear.B |
Tipo: | Virus |
Efectos: | Infecta un gran número de ficheros, deshabilita los programas de seguridad, abre el puerto de comunicaciones 1080 y captura las pulsaciones de teclado que realiza el usuario del ordendor afectado, permite que un hacker gane acceso remoto a los recursos del ordenador. |
Plataformas que infecta: | Windows XP/2000/NT/ME/98/95 |
Fecha de detección: | 05/06/2003 |
Detección actualizada: | 14/05/2009 |
Estadísticas | No |
Protección proactiva: | Sí, mediante las Tecnologías TruPrevent
|
Utilidad de reparación: | Panda QuickRemover |
Descripción Breve | |
Bugbear.B es un gusano peligroso que se propaga de manera masiva a través del correo electrónico y de unidades de red compartidas. Es muy fácil infectarse con él, ya que se activa automáticamente tan sólo con visualizar el mensaje a través de la Vista previa de Outlook. Para conseguirlo, aprovecha la vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5) que permite la ejecución automática de los ficheros de los mensajes de correo. Esta vulnerabilidad se llama Exploit Iframe. Sin embargo, no siempre aprovecha dicha vulnerabilidad para producir la infección. Bugbear.B lleva a cabo varias acciones en el ordenador afectado: Cuenta con una extensa lista de dominios pertenecientes, principalmente, a entidades financieras. Si detecta que la cuenta de correo predeterminada corresponde a una de esos dominios, recopila las contraseñas de acceso telefónico a redes y las envía por correo electrónico. Infecta numerosos ficheros. Detiene procesos activos en el ordenador relacionados con programas de seguridad. Abre el puerto de comunicaciones 1080, con lo que permite que un hacker gane acceso, de manera remota, a los recursos del ordenador. Captura las pulsaciones de teclado que realiza el usuario del ordenador afectado y las recopila en un fichero. De este modo, si un hacker consigue acceder a este fichero, podrá conocer información confidencial, como son las contraseñas a ciertos servicios de Internet, cuentas bancarias...
Bugbear.B es un gusano polimórfico, lo que complica su detección por parte de los programas antivirus. |
Síntomas Visibles | |
Bugbear.B resulta difícil de reconocer a simple vista ya que no muestra mensajes o avisos que alerten sobre su presencia. Cuando este gusano trata de crear una copia de sí mismo en distintas unidades de red, no comprueba si esta unidad es una impresora compartida. En caso de que lo sea, ésta impresora comenzará a imprimir papeles con caracteres basura. |
Detalles técnicos
Efectos |
Bugbear.B produce los siguientes efectos en el ordenador afectado: Este gusano cuenta con un fichero que contiene a una lista predeterminada de direcciones de correo electrónico pertenecientes, principalmente, a entidades financieras. Bugbear.B comprueba en el Registro de Windows si el ordenador afectado pertenece a alguna de esas entidades. En caso positivo, busca las las contraseñas cacheadas de la conexión telefónica a redes y las envía a las siguientes direcciones de correo: ifrbr@canada.com sdorad@juno.com fbnfgh@email.ro eruir@hotpop.com ersdes@truthmail.com eofb2@blazemail.com ioter5@yook.de iuery@myrealbox.com jkfhw@wildemail.com ds2iahf@kukamail.com Para enviar este mensaje, Bugbear.B activa la opción AutoDial modificando una clave del Registro de Windows. Con ello consigue no pedir confirmación al realizar las conexiones a red a través de módem. Infecta numerosos ficheros que encuentra en el ordenador. Estos ficheros son: %windir%\SCANDSKW.EXE %windir%\REGEDIT.EXE %windir%\MPLAYER.EXE %windir%\HH.EXE %windir%\NOTEPAD.EXE %windir%\WINHELP.EXE %programfiles%\INTERNET EXPLORER\IEXPLORE.EXE %programfiles%\ADOBE\ACROBAT 5.0\READER\ACRORD32.EXE %programfiles%\WINRAR\WINRAR.EXE %programfiles%\WINDOWS MEDIA PLAYER\MPLAYER2.EXE %programfiles%\REAL\REALPLAYER\REALPLAY.EXE %programfiles%\OUTLOOKEXPRESS\MSIMN.EXE %programfiles%\FAR\FAR.EXE %programfiles%\CUTEFTP\CUTFTP32.EXE %programfiles%\ADOBE\ACROBAT 4.0\READER\ACRORD32.EXE %programfiles%\ACDSEE32\ACDSEE32.EXE %programfiles%\MSN MESSENGER\MSNMSGR.EXE %programfiles%\WS_FTP\WS_FTP95.EXE %programfiles%\QUICKTIME\QUICKTIMEPLAYER.EXE %programfiles%\STREAMCAST\MORPHEUS\MORPHEUS.EXE %programfiles%\ZONE LABS\ZONEALARM\ZONEALARM.EXE %programfiles%\TRILLIAN\TRILLIAN.EXE %programfiles%\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE %programfiles%\AIM95\AIM.EXE %programfiles%\WINAMP\WINAMP.EXE %programfiles%\DAP\DAP.EXE %programfiles%\ICQ\ICQ.EXE %programfiles%\KAZAA\KAZAA.EXE %programfiles%\WINZIP\WINZIP32.EXE) donde %windir% es el directorio de Windows y %programfiles% es el directorio Archivos de programa. - Estos ficheros corresponden a distintas aplicaciones informáticas que no dejarán de funcionar. Sin embargo, cada vez que se ejecute cada una de esas aplicaciones (KaZaA, Winzip, Internet Explorer, etc.), se ejecutará al mismo tiempo el gusano.
En ocasiones se comporta como un troyano de tipo backdoor, permitiendo que un hacker gane acesso de forma remota a los recursos del ordenador y pueda llevar a cabo las siguientes acciones: - Listar, iniciar y terminar procesos. - Listar, copiar y borrar ficheros. - Enviar los ficheros en los que recoge las pulsaciones de teclado generadas por el usuario. - Enviar información confidencial de la máquina del usuario atacado. - Listar los recursos de red y sus características. - Abrir un servidor HTTP para interactuar desde el exterior a través de una interfaz web. Comprueba una serie de procesos en el ordenador relacionados con programas de seguridad. Si se encuentran activos, los finaliza. Con ello, detiene la ejecución de estos programas. Si quiere comprobar cuales son estos procesos, pulse aquí. Abre el puerto de comunicaciones 1080, con lo que permite que un hacker gane acceso, de manera remota, al ordenador afectado. Captura las pulsaciones de teclado que realiza el usuario del ordenador afectado y las recopila en un fichero que posteriormente envía por correo electrónico. Envía este fichero cuando su tamaño sobrepasa los 25.000 Bytes de tamaño o cada dos horas.
|
Metodo de Infección
Bugbear.B crea los siguientes ficheros:
????.EXE, en el directorio de inicio de Windows. Al crearlo en este directorio, consigue ejecutarse cada vez que se inicia el sistema. Para saber cual es el directorio de inicio de Windows, Bugbear.B lee la siguiente clave del Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Shell Folders\ Common Startup = directorio de inicio del usuario
???????.DLL, en el directorio de sistema de Windows. Tiene un tamaño de 5632 Bytes. Este fichero es el encargado de capturar las pulsaciones de teclado que realiza el usuario del ordenador afectado. Este fichero es detectado por Panda Software como PSWBugbear.B.
~PHQGHUM.TMP o SPHQGHUM.TMP en el directorio de ficheros temporales de Windows. El nombre de este fichero es uno u otro en función de si el gusano lo está utilizando o no.
También crea varias librerías de enlace dinámico que contienen datos encriptados con información recogida o generada por el gusano.
Método de Propagación
Bugbear.B se propaga principalmente a través del correo electrónico y de unidades de red compartidas.
1- Propagación a través del correo electrónico:
Para conseguir propagarse a través del correo, Bugbear.B sigue el siguiente proceso:
Lee la siguiente clave del Registro de Windows para obtener el servidor de correo:
HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Internet Account Manager
Además, el propio gusano contiene una lista de dominios con posibles servidores de correo.
Busca direcciones de correo electrónico en todos los ficheros que encuentra con alguna de las siguientes cadenas de texto: DBX, TBB, EML, MBX, NCH, MMF, INBOX y ODS.
A las direcciones de correo que encuentra les envía una copia del gusano. Para hacerlo utiliza su propio motor SMTP. Este mensaje tendrá las siguientes características:
Asunto:
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!
Fichero adjunto. Resulta muy variable.
Puede ser uno de los siguientes:
DATA
SONG
MUSIC
VIDEO
PHOTO
RESUME
PICS
IMAGES
IMAGE
NEWS
DOCS
CARD
SETUP
READMEEl fichero tendrá una o dos de las siguientes extensiones:
EXE, SCR y
PIF.
En otras ocasiones, Bugbear.B copia el nombre de algún fichero que encuentre en el directorio personal del usuario (indicado por la siguiente clave del Registro: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Shell Folders\ Personal), o bien copia el nombre de ficheros ubicados en el directorio My Documents, y que tengan alguna de estas extensiones : REG, INI, BAT, DIZ, TXT, CPP, HTML, HTM, JPEG, JPG, GIF, CPL, DLL, VXD, SYS, COM, EXE o BMP.
Bugbear.B no envía mensajes a ninguna dirección de correo que contenga alguna de las siguientes palabras:
majordom
ticket
talk
list
localdomain
localhost
nobody@
root@
postmaster@
mailer-daemon
trojan
virus
lyris
noreply
recipients
undisclosed
spam
remove
El receptor del mensaje quedará infectado tan sólo con visualizar el mensaje a través de la Vista previa de Outlook, puesto que Bugbear.B aprovecha la vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5) que permite la ejecución automática de los ficheros de los mensajes de correo. Esta vulnerabilidad se llama Exploit Iframe. Sin embargo, no siempre aprovecha dicha vulnerabilidad para producir la infección.
2- Propagación a través de unidades de red compartidas:
Bugbear.B comprueba si el ordenador afectado está conectado a una red. En caso positivo, busca unidades de red. En las que encuentra crea una copia de sí mismo en el directorio de inicio.
Cuando esa unidad de red se reinicia, queda infectada automáticamente por Bugbear.B .
La copia en red, en el directorio de inicio de equipos con diferentes sistemas operativos o idiomas puede no ser posible debido a que el gusano supone que, en la máquina remota a la que desea propagarse, ese directorio tiene la misma ruta que la máquina local.
NOTA: Bugbear.B no comprueba si las unidades compartidas en las que trata de crear una copia de sí mismo son impresoras compartidas. En caso de que Bugbear.C trate de copiarse en una impresora compartida, ésta comenzará a imprimir caracteres basura.
Otros Detalles
Para que conozca un poco mejor a Bugbear.B, aquí le presentamos alguna de sus características: