SG.hu

Bugbear.b vírus: most már "magas" a veszélyesség

Az AVERT, a Network Asociates vírusszakértői csoportja a mai napon egymás után kétszer sorolta magasabb veszélyességi kategóriába a W32/Bugbear.b@MM vírust. Magyar idő szerint délelőtt "közepes, megfigyelés alatt" volt a besorolás, majd néhány óra múlva a szakértők új közleménye szerint azért lett "magas" veszélyességi kategóriájú, mert előfordulási gyakorisága az utóbbi huszonnégy órában tovább nőtt.

A W32/Bugbear.b@MM féregvírust 2003 június 4-én fedezték fel először, és a ma kiadott 4270-es DAT fájl már kezeli. A teljes védelmet a hamarosan megjelenő EXTRA.DAT fájl tartalmazza majd.

A W32/Bugbear.b@MM komplex, több komponenst tartalmazó vírus, e-mailen és helyi hálózaton keresztül is terjeszti magát, hamis feladót feltüntetve. A többek között:

  • Mass-mailer (tömeges postázó)
  • Keylogger (leütésrögzítő)
  • Remote Access Trojan (távoli hozzáfárás trójai)
  • Polymorphic Parasitic File Infector (polimorf élősdi állományfertőző)
  • Security Software Terminator (biztonsági szoftver kiirtó) funkciókat tartalmaz.

    A vírus a fertőzött gépen található DBX, EML, INBOX, MBX, MMF, NCH, ODS és TBB kiterjesztésű fájlokból, mind a címzett, mind a feladó mezőkből összegyűjtött e-mail címekre küldi magát tovább.

    Bár a vírus kódja tartalmaz témasorokat és csatolt állomány neveket, az eredeti variáns tipikusan a vírusban nem szereplő adatokat használt ezekre a célokra. Ezért valószínűsíthetőbb a fertőzött rendszeren található szavak és fájlnevek előfordulása mindkét helyen. Mindemellett a lehetséges témasorok között szerepelhetnek például az alábbiak:

  • 25 merchants and rising
  • Announcement
  • bad news
  • CALL FOR INFORMATION!
  • click on this!
  • Correction of errors
  • Cows
  • Daily Email Reminder
  • empty account
  • fantastic
  • free shipping!
  • Get 8 FREE issues - no risk!
  • Get a FREE gift!
  • Greets!
  • Hello!
  • Hi!

    Az e-mail szövege és a csatolt állomány neve többnyire szintén a fertőzött rendszeren található szövegekből és fájlnevekből áll, ám számos valószínű példa létezik:

  • Card
  • Docs
  • image
  • images
  • music
  • news
  • photo
  • pics
  • readme
  • resume
  • Setup
  • song
  • video

    A csatolt állomány kiterjesztése EXE, PIF vagy SCR.

    További lehetőség, hogy a vírus a registry-ben a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Shell Folders\Personal kulcsban tárolt személyes mappából választ fájlnevet. Gyakori a kettős kiterjesztés is, például ie.doc.pif. A vírus a "MIME Header Can Cause IE to Execute E-mail Attachment", az MS01-020 számon nyilvántartott sebezhetőséget használja ki a Microsoft Internet Explorer 5.01-es vagy 5.5-ös, SP2 nélküli verzióiban. Az átjárókat figyelő szkennerek ezért "Exploit-MIME.gen." vagy "Exploit-MIME.gen.exe" néven azonosítják, a 4213-as vagy magasabb verziójú DAT fájl alapján.

    A vírus működésbelépésekor a START UP mappába másolja magát véletlenszerű fájlnéven, mint például:

    Win98 : C:\WINDOWS\Start Menu\Programs\Startup\BSFS.EXE 2kPro: C:\Documents and Settings\(username)\Start Menu\Programs\Startup\ BSFS.EXE

    Hálózati terjedés: A vírus megkísérli a hálózathoz kapcsolódó gépek START UP mappáiba másolni magát a fent leírt módon.

    Keylog-funkció: A vírus véletlenszerűen elnevezett DLL-t telepít a SYSTEM (%sysdir%) mappába a begépelt adatok elfogására. Két másik, szintén véletlenszerűen elnevezett fájl tartalmazza az elfogott információt, kódolt formában.

    Trójai komponens: A vírus az 1080-as TCP portot figyeli, hozzáférést engedve a fertőzőtt rendszerhez.

    Fájlfertőzés: A vírus megpróbál megfertőzni számos EXE állományt a PROGRAM FÁJLOK mappához tartozó HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir registry kulcs alapján, valamint az alábbi fájlokat: hh.exe, mplayer.exe, notepad.exe, regedit.exe, scandskw.exe, winhelp.exe, ACDSee32\ACDSee32.exe, Adobe\Acrobat 4.0\Reader\AcroRd32.exe, adobe\acrobat5.0\reader\acrord32.exe, AIM95\aim.exe, CuteFTP\cutftp32.exe, (stb)

    A vírus kódja tartalmaz továbbá egy hosszú, domain nevekből álló listát az email-hamisítás céljára.
  • Hozzászólások

    A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
    Bejelentkezéshez klikk ide
    (Regisztráció a fórum nyitóoldalán)
    Nem érkezett még hozzászólás. Legyél Te az első!