alta
Resumen
Resumen
Acción- Más información
| Sistemas operativos vulnerables | Windows |
|---|---|
| Protección disponible desde | 21 de agosto de 2009 01:24:43 (GMT) |
| Detectado por | Todos los productos de Sophos |
Acción
- Resumen
- Acción
- Más información
Vea la información para eliminar gusanos.
Instala el archivo IDE contra W32/Bugbear-A en el equipo infectado.
Windows 95/98/Me
En Windows 95/98, reinicie el equipo en modo MS-DOS. En Windows Me cree un disco de inicio y reinicie el equipo desde este disco.
Desde la línea de comandos, ejecute:
C:
CD \ARCHIV~1\SOPHOS~1
SWEEP C: -REMOVEF
Acepte cuando se le pregunte si desea borrar los archivos infectados. Repita este comando para cada unidad de disco (por ejemplo, SWEEP D: - REMOVEF para la unidad D:).
Reinicie el equipo y realice un nuevo escaneado desde Windows.
Windows NT/2000/XP
Cierre la sesión y vuelva a iniciarla como administrador local.
Pulse la combinación de teclas Control, Alt y Sup. Seleccione 'Administrador de tareas' y abra la ficha 'Procesos'. Busque un proceso con un nombre compuesto por cuatro letras aleatorias. Seleccione el proceso y deténgalo. (Si es necesario, realice un escaneado con Sophos Anti-Virus y anote los nombre de los archivos infectados. Uno de ellos tendrá el mismo nombre que el proceso).
Ejecute el comando Inicio|Programas|Sophos Anti-Virus|Sophos Anti-Virus.
Borre todos los archivos infectados con W32/Bugbear-A.
Realice un nuevo escaneado para comprobar que el sistema está limpio.
Otras plataformas
Veal las instrucciones para eliminar gusanos (en inglés).
Nota: W32/Bugbear-A incluye un programa que registra las pulsaciones del teclado. Debería cambiar sus contraseñas y cualquier otra información que pueda haberse filtrado.
El gusano también crea otros dos archivos DLL con nombre aleatorio en el directorio System que no son víricos. Sophos Anti-Virus no los detectará. Puede borrarlos si quiere pero no suponen ningún riesgo para su equipo.
Sophos también ha creado una herramienta gratuita de desinfección para W32/Bugbear-A.
Más información: Para saber cómo protegerse contra
Más información
W32/Bugbear-A es un gusano de redes. W32/Bugbear-A se extiende a través de adjuntos de email y copiando archivos en unidades compartidas de red.
W32/Bugbear-A intentará copiarse en todo tipo de recursos compartidos de red, incluyendo impresoras. Las impresoras no pueden infectarse pero intentarán imprimir el código en binario de W32/Bugbear-A, lo que puede ocupar numerosas páginas.
El gusano se aprovecha de las vulnerabilidades MIME e IFRAME en algunas versiones de Microsoft Outlook, Microsoft Outlook Express e Internet Explorer que permiten ejecutar adjuntos de forma automática al leer el mensaje. Microsoft ha creado un parche que podrá descargar desde Microsoft Security Bulletin MS01-027. Este parche soluciona diferentes agujeros de seguridad en los productos de Microsoft.
Si el gusano se activa, copiará varios archivos en el equipo con nombres compuestos por letras aleatorias:
xxx.EXE (normalmente 50688 bytes) en la carpeta Inicio
yyyy.EXE (normalmente 50688 bytes) en la carpeta System
zzzzzzz.DLL (normalmente 5632 bytes) en la carpeta System
Los dos archivos EXE son copias del gusano y el archivo DLL registra las pulsaciones del teclado.
Además de copiarse en la carpeta Inicio, el gusano modificará la siguiente clave en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
El gusano llega en un email que varía de aspecto y que podría no contener texto y llegar con alguno de los siguientes asuntos:
Hello!
update
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
fantastic
click on this!
Market Update Report
empty account
My eBay ads
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
$150 FREE Bonus!
Your News Alert
Get 8 FREE issues - no risk!
Greets!
El archivo adjunto puede tomar el nombre de cualquier otro archivo en el equipo de la víctima, pudiendo incluir alguno de los siguientes elementos:
Readme
Setup
Card
Docs
News
Image
Images
Pics
Resume
Photo
Video
Music
Song
Data
El adjunto tendrá doble extensión donde la extensión final será EXE, SCR o PIF.
El gusano puede tomar cualquier identidad a la hora de enviar los mensajes.
W32/Bugbear-A se ejecutará en segundo plano e intentará inhabilitar diferentes programas antivirus y otros programas de seguridad con los siguientes nombres:
ZONEALARM.EXE, WFINDV32.EXE, WEBSCANX.EXE, VSSTAT.EXE, VSHWIN32.EXE, VSECOMR.EXE, VSCAN40.EXE, VETTRAY.EXE, VET95.EXE, TDS2-NT.EXE, TDS2-98.EXE, TCA.EXE, TBSCAN.EXE, SWEEP95.EXE, SPHINX.EXE, SMC.EXE, SERV95.EXE, SCRSCAN.EXE, SCANPM.EXE, SCAN95.EXE, SCAN32.EXE, SAFEWEB.EXE, RESCUE.EXE, RAV7WIN.EXE, RAV7.EXE, PERSFW.EXE, PCFWALLICON.EXE, PCCWIN98.EXE, PAVW.EXE, PAVSCHED.EXE, PAVCL.EXE, PADMIN.EXE, OUTPOST.EXE, NVC95.EXE, NUPGRADE.EXE, NORMIST.EXE, NMAIN.EXE, NISUM.EXE, NAVWNT.EXE, NAVW32.EXE, NAVNT.EXE, NAVLU32.EXE, NAVAPW32.EXE, N32SCANW.EXE, MPFTRAY.EXE, MOOLIVE.EXE, LUALL.EXE, LOOKOUT.EXE, LOCKDOWN2000.EXE, JEDI.EXE, IOMON98.EXE, IFACE.EXE, ICSUPPNT.EXE, ICSUPP95.EXE, ICMON.EXE, ICLOADNT.EXE, ICLOAD95.EXE, IBMAVSP.EXE, IBMASN.EXE, IAMSERV.EXE, IAMAPP.EXE, FRW.EXE, FPROT.EXE, FP-WIN.EXE, FINDVIRU.EXE, F-STOPW.EXE, F-PROT95.EXE, F-PROT.EXE, F-AGNT95.EXE, ESPWATCH.EXE, ESAFE.EXE, ECENGINE.EXE, DVP95_0.EXE, DVP95.EXE, CLEANER3.EXE, CLEANER.EXE, CLAW95CF.EXE, CLAW95.EXE, CFINET32.EXE, CFINET.EXE, CFIAUDIT.EXE, CFIADMIN.EXE, BLACKICE.EXE, BLACKD.EXE, AVWUPD32.EXE, AVWIN95.EXE, AVSCHED32.EXE, AVPUPD.EXE, AVPTC32.EXE, AVPM.EXE, AVPDOS32.EXE, AVPCC.EXE, AVP32.EXE, AVP.EXE, AVNT.EXE, AVKSERV.EXE, AVGCTRL.EXE, AVE32.EXE, AVCONSOL.EXE, AUTODOWN.EXE, APVXDWIN.EXE, ANTI-TROJAN.EXE, ACKWIN32.EXE, _AVPM.EXE, _AVPCC.EXE, _AVP32.EXE
El componente DLL de W32/Bugbear-A registrará cada pulsación del teclado y cada vez que el usuario se conecte a Internet, el gusano enviará dicha información a las siguientes direcciones:
mshaw@hispostbox.com
mannchris@gala.net
gili_zbl@yahoo.com
c.willoughby@myrealbox.com
brdlhow@ml1.net
sc4579@excite.com
jwwatson@excite.com
stevechurchis@excite.com
langobaden@excite.com
jacopo58@excite.com
sctanner@myrealbox.com
erisillen@canada.com
sergio52@mac.com
rvre2736@fairesuivre.com
zr376q@yahoo.com
t435556@email.it
sdsdfsf@callme.as
boxhill@teach.com
stickly@login.pe.kr
vique@aggies.org
sm2001@mail.gerant.com
rwilson@singmail.com
W32/Bugbear-A abre el puerto 36794 y espera comandos desde un equipo remoto con los que podría:
Obtener las contraseñas encriptadas en la caché
Descargar y ejecutar archivos
Buscar archivos
Borrar archivos
Ejecutar archivos
Copiar archivos
Modificar archivos
Listar procesos
Detener procesos
Obtener información como el nombre de usuario, tipo de procesador, versión de Windows, memoria del sistema, discos duros.
El usuario remoto puede también abrir el puerto 80 (HTTP) en el equipo infectado y conectar con el programa de puerta trasera que hace de servidor Web (posiblemente Apache 1.3.26) incluido con W32/Bugbear-A y conseguir así mayor control sobre el equipo infectado.
Ejemplo de acceso remoto a un equipo infectado utilizando la puerta trasera
Ejemplo de acceso remoto a un equipo infectado utilizando la puerta trasera
Ejemplo de acceso remoto a un equipo infectado utilizando la puerta trasera
|
