W32.Bugbear.B@mm

Virus-Warnung  -  Virus-Beschreibung

Name:                 W32.Bugbear.B@mm

Alias:                Win32.Bugbear.B[CA]

                      W32/Bugbear.b@MM [McAfee]

                      Bugbear.B[F-Secure]

Art:                  Wurm

Groesse des Anhangs:

Betriebssystem:       Microsoft Windows 32Bit

Art der Verbreitung:  Massenmailing, Netzwerk

Verbreitung:          mittel

Risiko:               mittel

Schadensfunktion:     Massenmail, Trojanisches Pferd, Keylogger,

                      deaktivieren von Sicherheitsprogrammen

                      und infizieren von ausfuehrbaren Dateien.

Spezielle Entfernung: keine

bekannt seit:         05. Juni 2003

Beschreibung:

W32.Bugbear.B@mm ist eine Variante von W32.Bugbear@mm. Es ist ein

Massenmailer, der sich zusaetzlich ueber Netzwerkfreigaben verbreitet.

Der Wurm verfuegt ueber ein Backdoor und hat eine Komponente, die

Tastatureingaben aufzeichnet.

W32.Bugbear.B@mm versucht die Prozesse vieler Antivirus-Produkte und

Firewalls zu beenden. Der Wurm ist polymorph und kann ausfuehrbare

Programme infizieren.

Der Wurm terminiert folgende Prozesse:

  _AVP32.EXE

  _AVPCC.EXE

  _AVPM.EXE

  ACKWIN32.EXE

  ANTI-TROJAN.EXE

  APVXDWIN.EXE

  AUTODOWN.EXE

  AVCONSOL.EXE

  AVE32.EXE

  AVGCTRL.EXE

  AVKSERV.EXE

  AVNT.EXE

  AVP.EXE

  AVP32.EXE

  AVPCC.EXE

  AVPDOS32.EXE

  AVPM.EXE

  AVPTC32.EXE

  AVPUPD.EXE

  AVSCHED32.EXE

  AVWIN95.EXE

  AVWUPD32.EXE

  BLACKD.EXE

  BLACKICE.EXE

  CFIADMIN.EXE

  CFIAUDIT.EXE

  CFINET.EXE

  CFINET32.EXE

  CLAW95.EXE

  CLAW95CF.EXE

  CLEANER.EXE

  CLEANER3.EXE

  DVP95.EXE

  DVP95_0.EXE

  ECENGINE.EXE

  ESAFE.EXE

  ESPWATCH.EXE

  F-AGNT95.EXE

  FINDVIRU.EXE

  FPROT.EXE

  F-PROT.EXE

  F-PROT95.EXE

  FP-WIN.EXE

  FRW.EXE

  F-STOPW.EXE

  IAMAPP.EXE

  IAMSERV.EXE

  IBMASN.EXE

  IBMAVSP.EXE

  ICLOAD95.EXE

  ICLOADNT.EXE

  ICMON.EXE

  ICSUPP95.EXE

  ICSUPPNT.EXE

  IFACE.EXE

  IOMON98.EXE

  JEDI.EXE

  LOCKDOWN2000.EXE

  LOOKOUT.EXE

  LUALL.EXE

  MOOLIVE.EXE

  MPFTRAY.EXE

  N32SCANW.EXE

  NAVAPW32.EXE

  NAVLU32.EXE

  NAVNT.EXE

  NAVW32.EXE

  NAVWNT.EXE

  NISUM.EXE

  NMAIN.EXE

  NORMIST.EXE

  NUPGRADE.EXE

  NVC95.EXE

  PADMIN.EOUTPOST.EXE

  PAVCL.EXE

  PAVSCHED.EXE

  PAVW.EXE

  PCCWIN98.EXE

  PCFWALLICON.EXE

  PERSFW.EXE

  RAV7.EXE

  RAV7WIN.EXE

  RESCUE.EXE

  SAFEWEB.EXE

  SCAN32.EXE

  SCAN95.EXE

  SCANPM.EXE

  SCRSCAN.EXE

  SERV95.EXE

  SMC.EXE

  SPHINX.EXE

  SWEEP95.EXE

  TBSCAN.EXE

  TCA.EXE

  TDS2-98.EXE

  TDS2-NT.EXE

  VET95.EXE

  VETTRAY.EXE

  VSCAN40.EXE

  VSECOMR.EXE

  VSHWIN32.EXE

  VSSTAT.EXE

  WEBSCANX.EXE

  WFINDV32.EXE

  ZONEALARM.EXE

E-Mail-Verbreitung

Der Wurm sendet sich selbst an alle E-Mail-Adressen die er im

Posteingang findet. Er verwendet dazu seine eigene SMTP-Maschine.

Ebenso duchsucht er Dateien nach E-Mail-Adressen mit folgenden Endungen:

  .mmf

  .nch

  .mbx

  .eml

  .tbb

  .dbx

  .ocs

Von:

Absenderadressen konstruiert der Wurm aus den gefundenen

E-Mail-Adressen. Dabei werden Benutzername und Domaenenname vertauscht.

Er setzt teilweise auch echte E-Mail-Adressen ein.

Betreff:

W32.Bugbear.B@mm erzeugt neue E-Mails als Antwortschreiben auf

existierende E-Mails. Ebenso verwendet er Weiterleitungen. Zusaetzlich

benutzt er als Betreffzeile eine der folgenden Eintraege:

  Hello!

  update

  hmm..

  Payment notices

  Just a reminder

  Correction of errors

  history screen

  Announcement

  various

  Introduction

  Interesting...

  I need help about script!!!

  Stats

  Please Help...

  Report

  Membership Confirmation

  Get a FREE gift!

  Today Only

  New Contests

  Lost & Found

  bad news

  wow!

  fantastic

  click on this!

  Market Update Report

  empty account

  My eBay ads

  Cows

  25 merchants and rising

  CALL FOR INFORMATION!

  new reading

  Sponsors needed

  SCAM alert!!!

  Warning!

  its easy

  free shipping!

  News

  Daily Email Reminder

  Tools For Your Online Business

  New bonus in your cash account

  Your Gift

  Re:

  $150 FREE Bonus!

  Your News Alert

  Hi!

  Get 8 FREE issues - no risk!

  Greets!

Anhang:

Der Dateiname wird aus dem Dokumentverzeichnis des infizierten Rechners

entnommen, die angehaengte Datei hat zwei Erweiterungen:

1. Erweiterung

  .reg

  .ini

  .bat

  .diz

  .txt

  .cpp

  .html

  .htm

  .jpeg

  .jpg

  .gif

  .cpl

  .dll

  .vxd

  .sys

  .com

  .exe

  .bmp

2. Erweiterung (diese wird unter Umstaenden nicht angezeigt)

  .scr

  .pif

  .exe

Netzwerkverbreitung:

Der Wurm versucht sich ueber Netzwerkfreigaben zu verbreiten. Findet er

auf Freigaben eine der folgenden Dateien, werden diese infiziert.

  scandskw.exe

  regedit.exe

  mplayer.exe

  hh.exe

  notepad.exe

  winhelp.exe

  Internet Explorer\iexplore.exe

  adobe\acrobat 5.0\reader\acrord32.exe

  WinRAR\WinRAR.exe

  Windows Media Player\mplayer2.exe

  Real\RealPlayer\realplay.exe

  Outlook Express\msimn.exe

  Far\Far.exe

  CuteFTP\cutftp32.exe

  Adobe\Acrobat 4.0\Reader\AcroRd32.exe

  ACDSee32\ACDSee32.exe

  MSN Messenger\msnmsgr.exe

  WS_FTP\WS_FTP95.exe

  QuickTime\QuickTimePlayer.exe

  StreamCast\Morpheus\Morpheus.exe

  Zone Labs\ZoneAlarm\ZoneAlarm.exe

  Trillian\Trillian.exe

  Lavasoft\Ad-aware 6\Ad-aware.exe

  AIM95\aim.exe

  Winamp\winamp.exe

  DAP\DAP.exe

  ICQ\Icq.exe

  kazaa\kazaa.exe

  winzip\winzip32.exe

Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn