В связи с увеличением распространения вируса W32/Bugbear.b@MM за последние 24 часа AVERT (антивирусное исследовательское подразделение McAfee Security) повыcило уровень риска вируса до высокого.

W32/Bugbear.b@MM – комплексный червь, содержащий в себе несколько различных элементов.

• Модуль массовой рассылки писем
• Модуль распространения вируса по сети
• Клавиатурный перехватчик
• Модуль удаленного доступа к компьютеру
• Полиморфный модуль заражения файлов
• Модуль, прерывающий выполнение защитного ПО в памяти компьютера.

Массовая почтовая рассылка

Модуль рассылает себя по всем адресам, найденным в адресных книгах зараженного компьютера. Он ставит каждый адрес в поля TO и FROM. Таким образом, адрес отправителя не указывает напрямую на инфицированного пользователя.

Вирус извлекает почтовые адреса из файлов со следующими расширениями:

• .DBX
• .EML
• INBOX
• .MBX
• .MMF
• .NCH
• .ODS
• .TBB

Для рассылки сообщений используется SMTP-сервер, по умолчанию настроенный в зараженной системе:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager

Код вируса содержит заголовки почтовых сообщений и названия вложенных файлов. Однако, первоначальный вариант вируса рассылался с информацией, не присутствующей в коде вируса. Предполагается высокая вероятность того, что вирус использует слова и имена файлов, содержащихся в зараженной системе. Возможно, в темах сообщений могут содержаться следующие строки (однако, также возможны любые другие случайные заголовки):

• 25 merchants and rising
• Announcement
• bad news
• CALL FOR INFORMATION!
• click on this!
• Correction of errors
• Cows
• Daily Email Reminder
• empty account
• fantastic
• free shipping!
• Get 8 FREE issues - no risk!
• Get a FREE gift!
• Greets!
• Hello!
• Hi!
• history screen
• hmm..
• I need help about script!!!
• Interesting...
• Introduction
• its easy
• Just a reminder
• Lost & Found
• Market Update Report
• Membership Confirmation
• My eBay ads
• New bonus in your cash account
• New Contests
• new reading
• News
• Payment notices
• Please Help...
• Re: $150 FREE Bonus!
• Report
• SCAM alert!!!
• Sponsors needed
• Stats

Тело сообщения варьируется и может содержать фрагменты файлов найденных в зараженной системе. Имена вложений также варьируются, но могут содержать следующие строки:

• Card
• Docs
• image
• images
• music
• news
• photo
• pics
• readme
• resume
• Setup
• song
• video

Расширения:

• .exe
• .pif
• .scr

Имена файлов также могут быть взяты из файлов, найденных в персональных папках, обозначенных в реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Shell Folders\Personal

Общим для всех имен вложенных файлов является двойное расширение (например, .doc.pif). Исходящие сообщения выглядят как созданные с использованием Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020) в MS Internet Explorer (версии 5.01 или 5.5 без SP2). Сканеры шлюзов определят такие сообщения как Exploit-MIME.gen. или Exploit-MIME.gen.exe с DAT-файлом 4213 (или выше).

Установка в системе

Червь копирует себя в папки автозагрузки, используя случайное имя файла, например:

Win98 : C:\WINDOWS\Start Menu\Programs\Startup\BSFS.EXE
2k Pro : C:\Documents and Settings\(username)\Start Menu\Programs\Startup\BSFS.EXE

Распространение по сети

Червь пытается создать копии самого себя в каталоги автозапуска на всех доступных машинах в сети (файл с расширением .EXE методом, описанным выше)

Клавиатурный перехват

Вирус устанавливает dll-библиотеку клавиатурного перехвата, использующуюся для захвата всех нажатий клавиш. Имя этой библиотеки создается случайным образом, состоит из 7 символов, сопровождается расширением .dll и размещается в системном каталоге (%sysdir%). Также в системном каталоге размещаются два других файла, используя похожие имена. Эти файлы содержат зашифрованные результаты клавиатурного перехвата. Еще один, случайным образом названный файл с расширением .dat помещается в каталог WINDOWS (%WinDir%).

Троянский компонент

Червь устанавливает 1080 порт ТСР в режим “listening”, позволяя взломщику удаленно получить доступ к зараженной системе.

Полиморфный модуль заражения файлов

Вирус пытается заразить определенные исполняемые файлы. Он извлекает из реестра путь к каталогу Program Files:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir

Получив доступ к каталогу Program Files вирус пытается инфицирoвать следующие файлы:

• hh.exe
• mplayer.exe
• notepad.exe
• regedit.exe
• scandskw.exe
• winhelp.exe
• ACDSee32\ACDSee32.exe
• Adobe\Acrobat 4.0\Reader\AcroRd32.exe
• adobe\acrobat5.0\reader\acrord32.exe
• AIM95\aim.exe
• CuteFTP\cutftp32.exe
• DAP\DAP.exe
• Far\Far.exe
• ICQ\Icq.exe
• Internet Explorer\iexplore.exe
• kazaa\kazaa.exe
• Lavasoft\Ad-aware 6\Ad-aware.exe
• MSN Messenger\msnmsgr.exe
• Outlook Express\msimn.exe
• QuickTime\QuickTimePlayer.exe
• Real\RealPlayer\realplay.exe
• StreamCast\Morpheus\Morpheus.exe
• Trillian\Trillian.exe
• Winamp\winamp.exe
• Windows Media Player\mplayer2.exe
• WinRAR\WinRAR.exe
• winzip\winzip32.exe
• WS_FTP\WS_FTP95.exe
• Zone Labs\ZoneAlarm\ZoneAlarm.exe

Прерывание выполнения защитных программ в памяти компьютера

• ACKWIN32.exe
• ANTI-TROJAN.exe
• APVXDWIN.exe
• AUTODOWN.exe
• AVCONSOL.exe
• AVE32.exe
• AVGCTRL.exe
• AVKSERV.exe
• AVNT.exe
• AVP32.exe
• AVP32.exe
• AVPCC.exe
• AVPCC.exe
• AVPDOS32.exe
• AVPM.exe
• AVPTC32.exe
• AVPUPD.exe
• AVSCHED32.exe
• AVWIN95.exe
• AVWUPD32.exe
• BLACKD.exe
• BLACKICE.exe
• CFIADMIN.exe
• CFIAUDIT.exe
• CFINET.exe
• CFINET32.exe
• CLAW95.exe
• CLAW95CF.exe
• CLEANER.exe
• CLEANER3.exe
• DVP95.exe
• DVP95_0.exe
• ECENGINE.exe
• ESAFE.exe
• ESPWATCH.exe
• F-AGNT95.exe
• FINDVIRU.exe
• FPROT.exe
• F-PROT.exe
• F-PROT95.exe
• F-STOPW.exe
• IAMAPP.exe
• IAMSERV.exe
• IBMASN.exe
• IBMAVSP.exe
• ICLOAD95.exe
• ICLOADNT.exe
• ICMON.exe
• ICSUPP95.exe
• ICSUPPNT.exe
• IFACE.exe
• IOMON98.exe
• JEDI.exe
• LOCKDOWN2000.exe
• LOOKOUT.exe
• LUALL.exe
• MOOLIVE.exe
• MPFTRAY.exe
• N32SCANW.exe
• NAVAPW32.exe
• NAVLU32.exe
• NAVNT.exe
• NAVW32.exe
• NAVWNT.exe
• NISUM.exe
• NMAIN.exe
• NORMIST.exe
• NUPGRADE.exe
• NVC95.exe
• OUTPOST.exe
• PADMIN.exe
• PAVCL.exe
• PAVSCHED.exe
• PAVW.exe
• PCCWIN98.exe
• PCFWALLICON.exe
• PERSFW.exe
• RAV7.exe
• RAV7WIN.exe
• RESCUE.exe
• SAFEWEB.exe
• SCAN32.exe
• SCAN95.exe
• SCANPM.exe
• SCRSCAN.exe
• SERV95.exe
• SPHINX.exe
• SWEEP95.exe
• TBSCAN.exe
• TDS2-98.exe
• TDS2-NT.exe
• VET95.exe
• VETTRAY.exe
• VSCAN40.exe
• VSECOMR.exe
• VSHWIN32.exe
• VSSTAT.exe
• WEBSCANX.exe
• WFINDV32.exe
• ZONEALARM.exe

Симптомы заражения

Присутствие неизвестных файлов с расширением EXE в каталогах автозапуска.
ТСР-порт 1080, находящийся в состоянии «Listening»

Метод заражения

Вирус распространяется через сеть (используя открытые сетевые ресурсы) и рассылая себя (используя свой собственный механизм SMTP).

Вирус содержит длинный список почтовых доменов, используя их для фальсификации адресов отправителей.

Инструкции по удалению

Минимальные DAT-файлы - 4270
Минимальный сканирующий механизм - 4160

Доступны следующие пакеты EXTRA.DAT:

EXTRA.DAT - распаковать в ту же директорию, где находятся файлы CLEAN.DAT, NAMES.DAT и SCAN.DAT (обычно C:\Program Files\Common Files\Network Associates\VirusScan Engine\4.0.xx)
SUPER EXTRA.DAT

Возможные названия