x
OFERTA 48H
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA ESPECIAL
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA HALLOWEEN
Aprovéchate de unos
descuentos de miedo
COMPRA HOY AL 50%
x
OFERTA NAVIDAD
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 40%
x
OFERTA ESPECIAL
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 50%
x
OFERTA BLACKFRIDAY
Compra el mejor antivirus
al mejor precio
SOLO HOY HASTA -70%
x
OFERTA CYBERMONDAY
Compra el mejor antivirus
al mejor precio
(Solo para particulares)
SOLO HOY HASTA -70%
Active Scan. Analiza Gratis tu PC
Panda Protection

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

PSWBugbear.B

PeligrosidadPeligrosidad altaDañoMuy dañinoPropagaciónPoco extendido

Efectos 

PSWBugbear.B captura las pulsaciones de teclado que realiza el usuario del ordenador afectado y las recopila en un fichero.

Posteriormente, cuando el tamaño de este fichero supera los 25000 Bytes o cada dos horas, envía este fichero a través del correo electrónico.

Metodo de Infección 

PSWBugbear.B crea los siguientes ficheros:

  • ????.EXE, en el directorio de inicio de Windows. Al crearlo en este directorio, consigue ejecutarse cada vez que se inicia el sistema. Para saber cuál es el directorio de inicio de Windows, PSWBugbear.B lee la siguiente entrada del Registro de Windows:

    HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Shell Folders\ Common Startup = directorio de inicio del usuario
  • ~PHQGHUM.TMP o SPHQGHUM.TMP en el directorio de ficheros temporales de Windows. El nombre de este fichero es uno u otro en función de si el gusano lo está utilizando o no.
  • También crea varias librerías de enlace dinámico que contienen datos encriptados con información recogida o generada por el gusano.

Método de Propagación 

PSWBugbear.B se propaga principalmente a través del correo electrónico y de unidades de red compartidas.

1- Propagación a través del correo electrónico:

Para conseguir propagarse a través del correo, PSWBugbear.B realiza el siguiente proceso:

  • Lee la siguiente entrada del Registro de Windows para obtener el servidor de correo:

    HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Internet Account Manager
  • Además, el propio gusano contiene una lista de dominios con posibles servidores de correo.
  • Busca direcciones de correo electrónico en todos los ficheros que encuentra con alguna de las siguientes cadenas de texto: DBX, TBB, EML, MBX, NCH, MMF, INBOX  y ODS.
  • A las direcciones de correo que encuentra les envía una copia del gusano. Para hacerlo utiliza su propio motor SMTP. Este mensaje tendrá las siguientes características:
    Asunto:
    -Get 8 FREE issues - no risk!
    -Hi!
    -Your News Alert
    -$150 FREE Bonus!
    -Re:
    -Your Gift
    -New bonus in your cash account
    -Tools For Your Online Business
    -Daily Email Reminder
    -News
    -free shipping!
    -its easy
    -Warning!
    -SCAM alert!!!
    -Sponsors needed
    -new reading
    -CALL FOR INFORMATION!
    -25 merchants and rising
    -Cows
    -My eBay ads
    -empty account
    -Market Update Report
    -click on this!
    -fantastic
    -wow!
    -bad news
    -Lost & Found
    -New Contests
    -Today Only
    -Get a FREE gift!
    -Membership Confirmation
    -Report
    -Please Help...
    -Stats
    -I need help about script!!!
    -Interesting...
    -Introduction
    -various
    -Announcement
    -history screen
    -Correction of errors
    -Just a reminder
    -Payment notices
    -hmm..
    -update
    -Hello!

    Fichero adjunto. Resulta muy variable.
    Puede ser uno de los siguientes:
    -DATA
    -SONG
    -MUSIC
    -VIDEO
    -PHOTO
    -RESUME
    -PICS
    -IMAGES
    -IMAGE
    -NEWS
    -DOCS
    -CARD
    -SETUP
    -README
    El fichero tendrá una o dos de las siguientes extensiones: EXE, SCR y PIF.

    En otras ocasiones, PSWBugbear.B copia el nombre de algún fichero que encuentre en el directorio personal del usuario (indicado por la siguiente clave del RegistroHKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Shell Folders\ Personal), o bien copia el nombre de ficheros ubicados en el directorio My Documents, y que tengan alguna de estas extensiones: REG, INI, BAT, DIZ, TXT, CPP, HTML, HTM, JPEG, JPG, GIF, CPL, DLL, VXD, SYS, COM, EXE o BMP.

  • PSWBugbear.B no envía mensajes a ninguna dirección de correo que contenga alguna de las siguientes palabras:
    majordom
    ticket
    talk
    list
    localdomain
    localhost
    nobody@
    root@
    postmaster@
    mailer-daemon
    trojan
    virus
    lyris
    noreply
    recipients
    undisclosed
    spam
    remove
  • El receptor del mensaje quedará infectado tan sólo con visualizar el mensaje a través de la Vista previa de Outlook, puesto que PSWBugbear.B aprovecha la vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5) que permite la ejecución automática de los ficheros de los mensajes de correo. Esta vulnerabilidad se llama Exploit/Iframe.

2- Propagación a través de unidades de red compartidas:

PSWBugbear.B comprueba si el ordenador afectado está conectado a una red. En caso positivo, busca unidades de red. En las que encuentra crea una copia de sí mismo en el directorio de inicio.

Cuando esa unidad de red se reinicia, queda infectada automáticamente por PSWBugbear.B.

La copia en red, en el directorio de inicio de equipos con diferentes sistemas operativos o idiomas puede no ser posible debido a que el gusano supone que, en la máquina remota a la que desea propagarse, ese directorio tiene la misma ruta que la máquina local. 

NOTA: PWSBugbear.B no comprueba si las unidades compartidas en las que trata de crear una copia de sí mismo es una impresora compartida. En caso de que Bugbear.C trate de copiarse en una impresora compartida, ésta comenzará a imprimir caracteres basura.

Otros Detalles  

Para que conozca un poco mejor a PSWBugbear.B , aquí le presentamos alguna de sus características:

  • Crea un mutex (una especie de marcador) y le asigna el nombre W32SHAMUR . Con ello, PSWBugbear.B consigue saber si ya se está ejecutando en el ordenador. En caso positivo, no se vuelve a ejecutar.
  • Está escrito en el lenguaje de programación Visual C.
  • El fichero que provoca la infección tiene un tamaño de 72.192 Bytes y está comprimido con UPX modificado.
  • El gusano incorpora una lista de dominios pertenecientes, principalmente,  a entidades bancarias.  En caso de conectarse con un equipo perteneciente a uno de estos dominios, PSWBugbear.B activa la opción AutoDial modificando una clave del Registro de Windows.