Antivirus and Security Software from Sophos

Blogs

W32/Bugbear-A

Alias
  • Tanat
  • Tanatos
  • WORM_NATOSTA.A
  • W32/Bugbear@MM
  • I-Worm/Keywo
  • Worm/Tanatos.1
  • Worm/Tanatos.2
Kategorie
Typ
Vorgehensweise
Verbreitung niedrig hoch

Übersicht

 
Betroffene Betriebssysteme Windows
Schutz erhältlich seit 21 August 2009 01:24:43 (GMT)
Erkannt von Alle Sophos Produkte
Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Maßnahme

Weitere Informationen

W32/Bugbear-A ist ein netzwerkfähiger Wurm. W32/Bugbear-A verbreitet sich, indem er E-Mails mit Attachments versendet und freigegebene Ressourcen in Ihrem Netzwerk ausfindig macht, auf die er sich kopieren kann.

Beachten Sie, dass W32/Bugbear-A versucht, sich auf alle Arten von freigegebenen Netzwerkressourcen zu kopieren, einschließlich Druckerfreigaben. Drucker an sich können nicht infiziert werden, jedoch versuchen sie, Raw-Binärdaten aus dem Programmcode von W32/Bugbear-A zu drucken. Dadurch wird dann viel Papier verschwendet.

Der Wurm versucht, eine Schwachstelle von MIME und IFRAME in einigen Versionen von Microsoft Outlook, Microsoft Outlook Expresse und des Internet Explorers auszunutzen. Durch diese Schwachstellen kann ein ausführbares Attachment automatisch starten, ohne dass ein Doppelklick auf das Attachment notwendig ist. Microsoft hat ein Patch zur Verfügung gestellt, das vor diesen Angriffen schützt. Das Patch kann unter Microsoft Security Bulletin MS01-027 heruntergeladen werden. (Dieses Patch schließt einige Schwachstellen von Microsoft Software, einschließlich der, die von diesem Wurm ausgenutzt wird.)

Wenn der Wurm aktiviert ist, erscheinen verschiedene neue Dateien auf Ihrem Computer. Die Namen der Dateien bestehen aus Buchstaben, die der Wurm zufällig wählt. Sie finden dann:

xxx.EXE (normalerweise 50688 Bytes) im Startup Ordner

yyyy.EXE (normalerweise 50688 Bytes) im System Ordner

zzzzzzz.DLL (normalerweise 5632 Bytes) im System Ordner

Die beiden EXE-Dateien sind ausführbare Kopien des Wurms. Die DLL ist ein Tool zum Speichern von Tastenfolgen, das von dem Wurm verwendet wird, wenn er aktiviert wird.

Der Wurm fügt sich nicht nur zum Startup Ordner hinzu, sondern fügt außerdem einen Eintrag zu folgendem Registrierungsschlüssel hinzu:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

Das bedeutet, dass der Wurm erneut aktiviert wird, wenn Ihr Computer neu gestartet wird.

Der Wurm verbreitet sich per E-Mail. Die E-Mails enthalten keinen Text, haben aber folgende Betreffzeilen:


    Hello!
    update
    Payment notices
    Just a reminder
    Correction of errors
    history screen
    Announcement
    various
    Introduction
    Interesting...
    I need help about script!!!
    Please Help...
    Report
    Membership Confirmation
    Get a FREE gift!
    Today Only
    New Contests
    Lost & Found
    bad news
    fantastic
    click on this!
    Market Update Report
    empty account
    My eBay ads
    25 merchants and rising
    CALL FOR INFORMATION!
    new reading
    Sponsors needed
    SCAM alert!!!
    Warning!
    its easy
    free shipping!
    Daily Email Reminder
    Tools For Your Online Business
    New bonus in your cash account
    Your Gift
    $150 FREE Bonus!
    Your News Alert
    Get 8 FREE issues - no risk!
    Greets!

Die Attachments können denselben Dateinamen wie eine beliebige Datei auf dem Computer des betroffenen Anwenders haben, sie können jedoch folgende Zeichenfolgen enthalten:


    Readme
    Setup
    Card
    Docs
    News
    Image
    Images
    Pics
    Resume
    Photo
    Video
    Music
    Song
    Data

Die Attachments haben doppelte Erweiterungen, wobei die letzte Erweiterung EXE, SCR oder PIF ist.

W32/Bugbear-A lässt einen Thread im Hintergrund laufen, der versucht, Antiviren- und Sicherheitsprogramme mit folgenden Dateinamen zu beenden:


    ZONEALARM.EXE
    WFINDV32.EXE
    WEBSCANX.EXE
    VSSTAT.EXE
    VSHWIN32.EXE
    VSECOMR.EXE
    VSCAN40.EXE
    VETTRAY.EXE
    VET95.EXE
    TDS2-NT.EXE
    TDS2-98.EXE
    TCA.EXE
    TBSCAN.EXE
    SWEEP95.EXE
    SPHINX.EXE
    SMC.EXE
    SERV95.EXE
    SCRSCAN.EXE
    SCANPM.EXE
    SCAN95.EXE
    SCAN32.EXE
    SAFEWEB.EXE
    RESCUE.EXE
    RAV7WIN.EXE
    RAV7.EXE
    PERSFW.EXE
    PCFWALLICON.EXE
    PCCWIN98.EXE
    PAVW.EXE
    PAVSCHED.EXE
    PAVCL.EXE
    PADMIN.EXE
    OUTPOST.EXE
    NVC95.EXE
    NUPGRADE.EXE
    NORMIST.EXE
    NMAIN.EXE
    NISUM.EXE
    NAVWNT.EXE
    NAVW32.EXE
    NAVNT.EXE
    NAVLU32.EXE
    NAVAPW32.EXE
    N32SCANW.EXE
    MPFTRAY.EXE
    MOOLIVE.EXE
    LUALL.EXE
    LOOKOUT.EXE
    LOCKDOWN2000.EXE
    JEDI.EXE
    IOMON98.EXE
    IFACE.EXE
    ICSUPPNT.EXE
    ICSUPP95.EXE
    ICMON.EXE
    ICLOADNT.EXE
    ICLOAD95.EXE
    IBMAVSP.EXE
    IBMASN.EXE
    IAMSERV.EXE
    IAMAPP.EXE
    FRW.EXE
    FPROT.EXE
    FP-WIN.EXE
    FINDVIRU.EXE
    F-STOPW.EXE
    F-PROT95.EXE
    F-PROT.EXE
    F-AGNT95.EXE
    ESPWATCH.EXE
    ESAFE.EXE
    ECENGINE.EXE
    DVP95_0.EXE
    DVP95.EXE
    CLEANER3.EXE
    CLEANER.EXE
    CLAW95CF.EXE
    CLAW95.EXE
    CFINET32.EXE
    CFINET.EXE
    CFIAUDIT.EXE
    CFIADMIN.EXE
    BLACKICE.EXE
    BLACKD.EXE
    AVWUPD32.EXE
    AVWIN95.EXE
    AVSCHED32.EXE
    AVPUPD.EXE
    AVPTC32.EXE
    AVPM.EXE
    AVPDOS32.EXE
    AVPCC.EXE
    AVP32.EXE
    AVP.EXE
    AVNT.EXE
    AVKSERV.EXE
    AVGCTRL.EXE
    AVE32.EXE
    AVCONSOL.EXE
    AUTODOWN.EXE
    APVXDWIN.EXE
    ANTI-TROJAN.EXE
    ACKWIN32.EXE
    _AVPM.EXE
    _AVPCC.EXE
    _AVP32.EXE

W32/Bugbear-A öffnet außerdem Port 36794 und sendet eine Benachrichtigungs-E-Mail über SMTP an eine externe Adresse, die vertrauliche Daten über den Computer des Opfers, wie z. B. Benutzername und Kennwort, enthält.

Der Wurm kann versuchen festzustellen, ob ein Apache 1.3.26 Webserver vorhanden ist, und diese Information an eine exteren E-Mail-Adresse weiterleiten.

RSS|Atom
Berichte über die neuesten Viren- und Spyware-Threats direkt auf Ihrem Computer