Ir ao conteúdo
  • Cadastre-se

Vírus w32/bugbear@mm - tutorial


Posts recomendados

  • Membro VIP

<font color='#000000'>Devido ao considerável número de usuários solicitando informações sobre este vírus, e/ou relatando problemas com seus teclados que, muito provavelmente seja causado por este worm, preparei este tutorial de como removê-lo, mesmo manualmente, e todas as informações necessárias para o mesmo, bem como seu comportamento e funcionalidade.

O worm W32/BugBear@mm tenta se enviar para todos os endereços de e-mail que ele encontra nos sistemas infectados. Uma vez ativo na memória ele tenta desativar diversos produtos antivírus e Firewall. Ele também instala um cavalo de tróia backdoor na máquina, com o objetivo de capturar tudo que o usuário digita (senhas, números de cartões de crédito, etc). Esse backdoor fica monitorando a porta 36.764, o que permite que hackers possam comprometer a segurança pessoal e dos dados do usuário contaminado.

Além da rotina de se espalhar por e-mail, o BugBear também se utiliza dos compartilhamentos das redes locais, o que o torna naqueles vírus chatos de se remover, pois o usuário descuidado, quando acaba de limpar uma máquina, ela já pode estar sendo recontaminada.

Os anexos, que devem ser executados para que o micro se torne contaminado, têm vários nomes, mas todos com a tradicional dupla extensão.

O worm é originário da Malásia, e os anexos têm um tamanho de 50.688 bytes ou 50.664 bytes, e ele foi escrito em Visual C++ (uma linguagem de programação da Microsoft), e compactado com o produto UPX.

Ao infectar um computador ligado a uma rede local, o W32/BugBear tenta espalhar seu código binário para todos os dispositivos compartilhados, incluindo as impressoras. Como não podem ser infectadas propriamente, as impressoras, que possuem saída de linha, tentarão imprimir o código, gerando mensagens desconexas. Então se, na sua rede, as impressoras repentinamente começarem a "cuspir" papel com mensagens ininteligíveis, é bem provável que a rede corporativa tenha sido atingida pelo BugBear, o worm ativo neste momento. Acionar as impressoras é uma marca registrada do worm e com certeza seu sintoma mais visível, embora este efeito não apareça em algumas situações.

Cada um dos computadores atingidos passa a enviar comandos para todas as impressoras, provocando o fluxo descontrolado de papel sendo cuspido pela impressora. Tal característica tem causado muitas dores de cabeça, principalmente aos administradores de grandes redes, que eram piores nos primeiros dois dias do início do aparecimento do worm no campo, pois não se conhecia a causa do problema, que parecia surgir como um fantasma na rede.

A primeira página que as impressoras imprimem contém a expressão "This program can not be run in DOS mode" - sempre em inglês - sendo que as demais páginas contém apenas uns pouco caracteres em cada uma. Para se evitar estes problemas, deve-se tomar alguns cuidados:

         a- desconectar todos os computadores ligados em rede, que devem ficar isolados fisicamente antes de se iniciar a desinfecção;

         b- apagar toda a fila de trabalhos de impressão das máquinas;

         c- certificar-se de ter eliminado todos os arquivos e processos da memória relacionados ao worm;

         d- reconectar todos os computadores, mas somente após todos os computadores estarem livres desse worm.

Outra característica que tem sido relacionada a esta praga do BugBear, está ligada ao teclado, sendo que o vírus duplicaria caracteres especiais, tais como os acentos e o ce cedilha (ç). Nessa situação a máquina infectada escreveria palavras como "Manuten'c~~ao" (Manutenção) ou "voc^^e" (você).

O W32/BugBear, que foi descoberto no dia 30 de setembro de 2002, rapidamente se tornou um dos worms mais disseminados no mundo. Para se ter uma ideia, a evolução do quadro de infecção, ao redor do mundo, era a seguinte:

         dia 30: menos de 20 casos;

         dia 01: quase 1.900 casos;

         dia 02: quase 6.400 casos;

         dia 03: mais de 18.800 casos;

         dia 04: quase 8.400 casos.

Funcionamento do Worm

Após a execução do arquivo viral, o worm W32/BugBear inicia seus processos de ataque, começando pela criação de um arquivo, de nome totalmente aleatório, com extensão EXE, dentro da pasta SYSTEM do Windows. Para assegurar que esse código seja executado a cada partida do Windows, o BugBear cria uma chave no Registro do Windows, como o modelo abaixo indica:

   

         HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce=%System%\.EXE

onde %System%, normalmente, é C:\Windows\System ou C:\WINNT\System32.

Este worm é o primeiro que utiliza esta chave, que por default é removida após o boot ser completado com sucesso. Assim o worm tem uma rotina para recriar tal chave após cada boot.

Ainda para assegurar-se de que o Windows o executará na inicialização, este worm se copia para a pasta Inicializar do Windows com um terceiro caracter, gerado semi-randomicamente. Para isto, usa a seguinte chave do registro:

         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

Ele também grava três arquivos DLL, encriptados, dentro da pasta SYSTEM, e dois arquivos DAT, na pasta Windows. Estes cinco arquivos são utilizados para a funcionalidade do worm, porém seu conteúdo não tem carga viral alguma.

Depois de se instalar no sistema, o worm segue quatro (4) rotinas:

         * Envio em massa de e-mails

         * Infecção da rede local

         * Instalação de um cavalo de tróia backdoor

         * Terminar a execução de processos conhecidos de antivírus e firewalls

Rotina 1: Envio em massa de e-mails

Este worm usa comandos de protocolo SMTP e lê a seguinte chave do registro para obter um servidor SMTP para se propagar:

         HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts\%Default Mail Account% “SMTP Server”

Ele obtém o valor para %Default Mail Account% na seguinte chave:

         HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager

            Default Mail Account

Com isto, o worm carrega 3 (três) processos de SMTP semelhantes para completar sua atividade de comunicação. Usa 2 (dois) dos processos para enviar e-mails forjados, que contém uma versão codificada do worm, à endereços de e-mails selecionados.

Nos primeiros casos relatados, os e-mails vinham sem conteúdo, apenas o campo assunto e o anexo eram enviados. Mais tarde começaram a aparecer mensagens contendo material que o worm coletava dentro da própria máquina contaminada. Os assuntos são escolhidos de forma aleatória, dentro da lista abaixo:

         * $150 FREE Bonus!

         * 25 merchants and rising

         * Announcement

         * bad news

         * CALL FOR INFORMATION!

         * click on this!

         * Confirmation of Recipes…

         * Correction of errors

         * Daily Email Reminder

         * empty account

         * fantastic

         * free shipping!

         * Get 8 FREE issues - no risk!

         * Get a FREE gift!

         * Greets!

         * hello!

         * history screen

         * hmm..

         * I need help about script!!!

         * Interesting...

         * Introduction

         * its easy

         * Just a reminder

         * Lost & Found

         * Market Update Report

         * Membership Confirmation

         * My eBay ads

         * New bonus in your cash account

         * New Contests

         * new reading

         * Payment notices

         * Please Help...

         * Report

         * SCAM alert!!!

         * Sponsors needed

         * Stats

         * Today Only

         * Tools For Your Online Business

         * update

         * various

         * Warning!

         * Your Gift

         * Your News Alert

Ele obtém a lista de endereços de e-mail do cache de mensagens, agendas de endereços, e caixas de correio que se encontrarem na máquina infetada. Procura pela raiz inteira da máquina, inclusive subdiretórios, por arquivos com as exteções:

         * .ODS

         * .INBOX

         * .MMF

         * .NCH

         * .MBX

         * .EML

         * .TBB

         * .DBX

O worm tem a opção de escolher mensagens de e-mail de um banco de dados existente de um sistema infetado. Envia as mensagens de e-mail forjadas aos primeiros 170 endereços de e-mail que encontra. Ele se assegura de não enviar um e-mail para o próprio usuário infetado, conferindo a entrada de registro seguinte para o endereço de e-mail que precisa evitar:

         [b[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts\%Default Mail Account%

           “SMTP Email Address”

Esta entrada, normalmente, refere-se ao endereço de e-mail do próprio usuário.

Preenche o campo DE do e-mail em duas etapas. Primeiro, pega "emprestado" o nome de exibição dos usuários que estão registrados na seguinte chave:

         HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts\%Default Mail Account%

            “SMTP Display Name”

Então, compõe o endereço atual nos campos DE e PARA com os endereços de e-mail que achou.

 

O anexo contém a forma codificada do worm, com SETUP.EXE como seu nome de arquivo padrão. Porém, há exemplos quando este worm procura a pasta pessoal do usuário e adquire o nome do primeiro arquivo que encontra nesta pasta. Adiciona as extensões SCR, PIF, ou EXE para o nome de arquivo do arquivo que encontrou, obtendo assim, o nome do anexo. Isto resulta em anexos com extensões duplas.  

O caminho desta pasta normalmente é “C:\Meus Documentos” ou "C:\Documents and Settings\%User Name%\Meus Documentos” e o worm obtém esta informação nesta entrada de registro:

         HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

            Personal

Esta pasta pessoal, normalmente contém um arquivo chamado DESKTOP.INI, que é responsável por setar automaticamente os programas a salvarem seus arquivos nesta pasta pessoal. O  worm procura arquivos .INI da lista para possíveis nomes de anexo.

Na eventualidade de não achar um arquivo na pasta pessoal do usuário, combina strings de texto: setup, organização, cartão, docs, documentos, notícias, Imagem, pics, figuras, currículo, fotografia, vídeo, música, ou arquivos de música; com quaisquer das extensões: SCR, PIF, ou EXE.

Os anexos podem ser criados através da combinação de nomes de arquivos na pasta Meus Documentos, mais uma das seguintes strings: readme, setup, card, docs, news, image, images, pics, resume, photo, video, music, song e data. A primeira extensão é gerada dentro da lista abaixo, ou então mantém a extensão original do nome do arquivo escolhido acima:

         * reg

         * ini

         * bat

         * diz

         * txt

         * cpp

         * html

         * htm

         * jpeg

         * jpg

         * gif

         * cpl

         * dll

         * vxd

         * sys

         * com

         * exe

         * bmp

E a última extensão é escolhida entre três opções:

         * scr

         * pif

         * exe

Os dois mecanismos de SMTP deste worm diferem do modo como eles compõem o e-mail.

Um mecanismo de SMTP envia a versão codificada do worm em uma mensagem de e-mail clara com o assunto “application/x-msdownload.”  

O outro mecanismo de SMTP tem um assunto de “audio/x-mídi” e também o formato do corpo da mensagem em branco para conter html codifica que explora o Incorrect Multipurpose Internet Mail Extensions (MIME), vulnerabilidade de cabeçalho que permite que anexos de mensagens de e-mail formatadas como HTML, possam ser executadas automaticamente quando um usuário lê ou pré-visualiza o e-mail no Microsoft Outlook ou Outlook Express. Quando o worm é executado ao ler-se o e-mail, se instala no sistema designado sem avisar o usuário incauto. A vulnerabilidade Incorrect MIME de cabeçalho é conhecida por afetar o Microsoft Internet Explorer 5.01 e 5.5.    

 

Rotina 2: Infecção da Rede Local

Este worm se espalha pelas redes locais por pastas compartilhadas. Tem uma rotina que, continuamente, esquadrinha por recursos de rede compartilhados que incluem pastas compartilhadas. Quando acha um, tenta se copiar como o seguinte:

        \\<nome do recurso compartilhado>\%Startup%\<arquivo randômico>.exe

         * onde

           %Startup% refere-se ao caminho à pasta Iniciar da máquina infectada.

           <arquivo randômico> é o mesmo nome do arquivo usado pelo arquivo descarregado na pasta Iniciar.

Não confere o tipo de recurso compartilhado que também infecta, de forma que se copia para outros recursos da rede como impressoras. Quando isto acontece, causa uma acumulação de trabalhos na fila de impressão da impressora de rede. Os trabalhos de impressão associados com este worm têm documento com tamanho igual ao tamanho do worm.

Rotina 3: Instalação de um cavalo de tróia Backdoor

Esse worm funciona como um cavalo de tróia backdoor. Ele abre a porta 36794 na máquina infetada e permite que usuários remotos se conectem à porta aberta. Assim, podem executar quaisquer das ações seguintes na máquina infetada:

         * Baixar e executar arquivos;

         * Copiar e apagar arquivos;

         * Listar processos em execução;

         * Encerrar processos em execução;

         * Encontrar e exibir arquivos;

         * Alterar o servidor de http;

         * Retornar informações da máquina infectada.

As informações retornadas sobre a máquina infetada são:

         * Nome de máquina;

         * Usuário logado no momento;

         * Tipo de processador;

         * Versão e build do sistema operacional;

         * Memória disponível;

         * Especificações de meios de armazenamento - discos rígidos, drives de CDROM - e mapeamento de unidades de rede;

         * Lista de unidades de rede visível da máquina infetada - pastas compartilhadas, domínios, estações de trabalho, impressoras, etc.

Devido à complexidade à qual as instruções precisam ser enviadas a este backdoor, é possível que um programa cliente exista para manipular o worm.

Normalmente, quando alguém tenta conectar à porta 36794, os seguintes arquivos temporários são criados na pasta temporária do Windows da máquina infectada:  

         * ~PHGGUM.TMP

         * ~EAYLNLF.TMP

O arquivo descarregado, ~ PHGGUM.TMP, contém uma string de 20 caracteres, que é usada por este worm como uma sessão ID para se comunicar com seu servidor cliente. Um usuário conectado não pode enviar comandos a este worm sem este ID.

Rotina 4: Término da Execução de Processos Conhecidos de Antivírus e Firewalls

O worm encerra a execução de diversos processos, todos relacionados à conhecidos programas antivírus e Firewalls. Dentre esses destacam-se:

         * _AVP32.EXE

         * _AVPCC.EXE

         * _AVPM.EXE

         * ANTI-TROJAN.EXE

         * AVCONSOL.EXE

         * AVE32.EXE

         * AVGCTRL.EXE

         * AVKSERV.EXE

         * AVNT.EXE

         * AVP.EXE

         * AVP32.EXE

         * AVPDOS32.EXE

         * AVPM.EXE

         * AVPUPD.EXE

         * AVSCHED32.EXE

         * BLACKD.EXE

         * BLACKICE.EXE

         * CLEANER.EXE

         * CLEANER3.EXE

         * DVP95.EXE

         * DVP95_0.EXE

         * ESAFE.EXE

         * ESPWATCH.EXE

         * F-AGNT95.EXE

         * FINDVIRU.EXE

         * FPROT.EXE

         * F-PROT.EXE

         * F-PROT95.EXE

         * FP-WIN.EXE

         * IBMASN.EXE

         * IBMAVSP.EXE

         * ICMON.EXE

         * IOMON98.EXE

         * JEDI.EXE

         * LOCKDOWN2000.EXE

         * LOOKOUT.EXE

         * N32SCANW.EXE

         * NAVAPW32.EXE

         * NAVNT.EXE

         * NAVWNT.EXE

         * NVC95.EXE

         * OUTPOST.EXE

         * PCCWIN98.EXE

         * PCFWALLICON.EXE

         * SAFEWEB.EXE

         * SCAN32.EXE

         * SCAN95.EXE

         * SCANPM.EXE

         * SPHINX.EXE

         * SWEEP95.EXE

         * TBSCAN.EXE

         * TDS2-98.EXE

         * TDS2-NT.EXE

         * VET95.EXE

         * VETTRAY.EXE

         * VSCAN40.EXE

         * VSECOMR.EXE

         * VSHWIN32.EXE

         * VSSTAT.EXE

         * WEBSCANX.EXE

         * WFINDV32.EXE

         * ZONEALARM.EXE

Rotina 5: "Ladrão" de Senhas

Esta rotina do worm, geralmente é ativada quando o worm é executado pela primeira vez no sistema. O  worm rouba senhas do cache no sistema usando sistemas APIs e as envia a um certo endereço de e-mail. Esta informação, junto com o nome da máquina e o nome do usuário logado no momento, formam o corpo da mensagem.

O remetente e receptor do e-mail, neste caso, são os mesmos, e pode ser qualquer dos seguintes:

         * boxhill@teach.com

         * brdlhow@ml1.net

         * c.willoughby@myrealbox.com

         * erisillen@canada.com

         * gili_zbl@yahoo.com

         * jacopo58@excite.com

         * jwwatson@excite.com

         * langobaden@excite.com

         * mannchris@gala.net

         * mshaw@hispostbox.com

         * rvre2736@fairesuivre.com

         * rwilson@singmail.com

         * sc4579@excite.com

         * sctanner@myrealbox.com

         * sdsdfsf@callme.as

         * sergio52@mac.com

         * sm2001@mail.gerant.com

         * stevechurchis@excite.com

         * stickly@login.pe.kr

         * t435556@email.it

         * vique@aggies.org

         * zr376q@yahoo.com

O assunto do e-mail é o nome de domínio do “SMTP Default Address” previamente obtido do registro. Assim, se o endereço padrão de e-mail SMTP é “test@nowhere.com,” então o assunto do e-mail é “nowhere.”    

 

Keylogger e Outros Arquivos Descarregado

 

Este worm grava 3 (três) arquivos .DLL na pasta SYSTEM e 2 (dois) .DAT na WINDOWS. Um dos 3 arquivos .dll é um programa KEYLOGGER que adiciona alguns eventos ao teclado.

   

Este keylogger intercepta as teclas acionadas na máquina infetada e salva-as de forma encriptada no outro arquivo .DLL que gravou. O keylogger também é detectado como WORM_BugBear.A, enquanto as duas outras .DLLs não têem carga destrutiva. Os dois arquivos .DAT também não possuem qualquer carga viral e são encriptados.  

Se o sistema operacional for o Windows 95/98/ME, o worm faz um acesso à uma função não-documentada, existente dentro da biblioteca MPR.DLL, denominada WNerEnumCachedPasswords, o que permite que o hacker obtenha diversas senhas que se encontrem nesse cache, entre elas as senhas de acesso à rede Dial-Up, senhas de sites protegidos, cartões de crédito, etc.

Em seguida, o BugBear começa a se replicar pela rede local. Para isso o worm lista todos os recursos disponíveis na rede. Se ele encontra compartilhamentos abertos com permissões de administrador, ele tenta se auto-copiar para os computadores remotos, garantindo que os computadores sejam infectados assim que dêm um novo boot.

Por causa de falhas em sua programação, o BugBear não manipula corretamente todos os possíveis tipos de recursos de uma rede local. Assim, é possível que ocorram sinais extemporâneos, sendo o mais comum o disparar de impressoras compartilhadas, que ejetam centenas de páginas contendo alguns caracteres estranhos em cada página.

Remoção Manual:

Identificando o Programa Nocivo

Para remover este worm completamente de seu sistema, primeiro você terá que identificar o nome do arquivo do programa nocivo que está ativo na memória. Uma vez identificado, pode ser finalizado e, então, removido.

Escaneie seu sistema com um antivírus atualizado e observe todos os arquivos encontrados como WORM_BugBear.A.

Finalizando o Programa nocivo

Este procedimento finaliza o programa nocivo ativo na memória. Você precisará do nome(s) do arquivo(s) que descobriu antes.    

         1. Abra o Gerenciador de Tarefas do Windows

            No Windows 9x/ME, pressione

            CTRL+ALT+DELETE

            No Windows NT/2000/XP, pressione

            CTRL+SHIFT+ESC, e clique na aba Processos.

         2. Na lista de programas em execução*, localize o arquivo ou arquivos nocivos detectado anteriormente.

         3. Selecione um dos arquivos descobertos, e clique no botão Finalizar Processo ou Finalizar Tarefa, dependendo da versão do Windows.

         4. Faça o mesmo para todos os arquivos nocivos que estiver na lista de processos em execução.

         5. Confira se o processo nocivo realmente foi encerrado, feche Gerenciador de Tarefas, e abra-o novamente.

         6. Feche o Gerenciador de Tarefas.

      * NOTA: Em sistemas com Windows 9x/ME, o Gerenciador de Tarefa pode não mostrar certos processos. Você pode usar um visualizador de processos de terceiros, como o Process Explorer da SysInternals, para encerrar o processo nocivo. Caso contrário, continue com o próximo procedimento, observando instruções adicionais.  

Removendo Entradas Automáticas do Registro

Removendo entradas de reinicialização automática do registro, impede-se o programa nocivo de executar durante a inicialização. Você precisará do nome(s) do arquivo(s) que descobriu antes.

         1. Abra o Editor de Registro. Para isto, vá em Iniciar> Executar, digite REGEDIT e pressione Enter.

         2. No painel esquerdo, localize e clique duas vezes sobre a chave:  

            HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

         3. No painel direito, localize e apague a entrada ou entradas cujos dados tenham como valor (na coluna da direita) o(s) arquivo(s) nocivo(s) anteriormente descoberto(s).

         4. Feche o Editor de Registro.

 

      * NOTA: Se você não puder encerrar o processe nocivo da memória como descrito anteriormente, reinicie seu sistema em modo MS-DOS e apague todos os arquivos na pasta Iniciar, identificados como WORM_BugBear.A. Depois, reinicie seu sistema em modo Windows normalmente.  

Escaneando com um Antivírus

Escaneie seu sistema com um antivírus super atualizado e delete todos os arquivos encontrados como WORM_BugBear.A.

Instalando Patches

Este backdoor explora vulnerabilidades conhecidas no Internet Explorer. Baixe e instale todos os patches de segurança fornecidos pela Microsoft.

Apelidos/Variantes: W32/Tanat, Win32BugBear, Worm/Tanatos, W32/BugBear-A</font>

Link para o post
Compartilhar em outros sites
  • 5 meses depois...
  • 5 meses depois...

Uma vez um mulher me disse q pego o bugber eu fui la passei todos removal e nada..depois perguntei ela se ela deixou o teclado cai no chao ou derramou algo..ela disse q sim huaehuaehueah perguntem antes...porque o resultado de um copo d'gua no teclado é semelhante ao virus..ai é so compra outro porque teclado depois q molha nunca mais é o mesmo depedendo de onde foi derramado...

Link para o post
Compartilhar em outros sites
  • 7 meses depois...

duvida

os sintomas eram o seguinte

ao enves de sair ...é.... saia ...´´e....

o avg sozinho abria no systray e ficava rodando tipo como se eu estivesse recebendo ou mandando emils

o processo que estava sendo executado tinha o nome de blk.exe ai fui finalizei o processo, passei o avast e ele achou 2 dll do virus, mas não identificou aquele processo que tinha o nome de blk.exe, e eu não achei mais nenhum arquivo com bugbear, passei todos os removedores dele e nenhum acho mais nada...

eu queria saber se eu apagar esse arquivo blk.exe vai fazer alguma diferença quando eu reiniciar o cpu? pois ele esta dentro da pasta system32

:zoio::zoio::help::help:

Link para o post
Compartilhar em outros sites

Algumas vezes quando eu ligo meu micro, o mouse e o teclado não funciona, mas dá pra ver que o windows continua normal. Seria o mesmo de tirar as entradas....

O problema parece que é à quem utiliza placa mãe asus, pois outros não ocorriam. Este problema que ocorre no meu micro pode ter alguma infruencia com esse vírus ?

Link para o post
Compartilhar em outros sites
  • 2 meses depois...
Visitante
Este tópico está impedido de receber novos posts.

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

minicurso-montagem-popup.jpg

MINICURSO GRÁTIS!

Como ganhar dinheiro montando computadores!

CLIQUE AQUI E INSCREVA-SE AGORA MESMO!