Este nuevo gusano, cuyas primeras muestras se descubrieron el pasado
29 de septiembre, está consiguiendo un número significativo de
infecciones, aunque de momento muy por debajo de los ratios que aun
mantiene el perenne «Klez». Su capacidad para eliminar muchos
antivirus y firewalls personales, así como el robo de nombres de
usuarios y contraseñas o la apertura del puerto TCP/36794 para
permitir la entrada a los equipos infectados, son algunas de sus
funcionalidades más destacadas.

Escrito en Visual C++, su tamaño original fue reducido por el
creador a unos 50kb gracias a la utilidad de compresión UPX. Nos
encontramos ante un espécimen que, sin aportar nada nuevo, recoge
mucha de las funcionalidades y técnicas que han dado resultado a otros
gusanos, consiguiendo finalmente una muestra bastante completa y
funcional.

Así, en lo que a propagación se refiere, utiliza su propio módulo
SMTP (en vez de utilizar un cliente de correo como Outlook), recoge
direcciones a las que enviarse desde la libreta de direcciones de
Windows y de archivos con extensión .dbx, .eml, .mbx, .mmf, .nch,
.tbb, y .OCS, así como se ocupa de modificar el asunto, el cuerpo
del mensaje, el nombre y extensiones del archivo adjunto donde se
envía para evitar ser reconocido a primera vista.

De forma aleatoria el gusano envía algunos de los mensajes infectados
aprovechando la explotación de la famosa vulnerabilidad MIME/IFRAME
de Internet Explorer para intentar ejecutarse de forma automática,
sin necesidad de que el usuario abra el archivo adjunto, como ya lo
hicieran Nimda, BadTrans o el propio Klez (http://www.hispasec.com/unaaldia.asp?id=1278).
El resto de mensajes no aprovechan ninguna vulnerabilidad, por lo
que será necesario que el usuario los abra haciendo doble click en
ellos para infectarse.

Una vez infecta un sistema, realiza una copia de si mismo en la
carpeta de sistema de Windows y modifica la siguiente entrada en
el registro para asegurarse su ejecución en cada inicio de sistema,
tal y como suelen hacer los troyanos y backdoors en Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

Bugbear también es capaz de infectar a través de los recursos
compartidos de las redes locales, copiándose en las carpetas de Inicio
para forzar su primera ejecución al iniciar de nuevo el sistema y
conseguir la infección sin intervención por parte del usuario.

Una vez instalado en el sistema, además de continuar con su propagación
enviando de forma masiva mensajes infectados e intentando acceder a
los recursos compartidos a los que tenga alcance, Bugbear se encarga
de recopilar cuentas de usuario/contraseña y enviarlas por e-mail al
autor, así como abre el puerto TCP/36794 donde un módulo backdoor
permite que terceros puedan controlar el sistema del usuario infectado
a través de Internet.

Como ya comentamos al inicio, Bugbear también dispone de una serie
de medidas contra-antivirus, de forma que cuando infecta un sistema
el gusano busca si en el sistema están ejecutándose una serie de
procesos (en su mayoría residentes de antivirus y firewalls personales)
e intenta eliminarlos.

La mayoría de soluciones antivirus ya cuentan con actualizaciones para
detectar a Bugbear, por lo que en teoría, pese a la rápida propagación
que ha conseguido en apenas unos días de existencia, sería de esperar
que a medida que se actualicen los antivirus las infecciones fueran
decreciendo. No obstante, y tras la experiencia con gusanos como
«Klez», con el que guarda algunas similitudes, haremos un seguimiento
y estaremos expectantes a su evolución.

Algunos datos complementarios sobre Bugbear/Tanatos

Listado de asuntos entre los que elige para enviarse por e-mail:

Greets!
Get 8 FREE issues – no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help…
Stats
I need help about script!!!
Interesting…
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!

Procesos que busca en el sistema infectado e intenta eliminar:

ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE

Bernardo Quintero
bernardo@hispasec.com

Más información:

Win32.BugBear.A@mm
http://www.bitdefender-es.com/virusi/virusi_descrieri.php?virus_id=109

W32/Bugbear.A@mm Worm
http://www.commandsoftware.com/virus/bugbear.html

Bugbear
http://www.f-secure.com/v-descs/tanatos.shtml

I-Worm.Tanatos
http://www.avp.ch/avpve/worms/email/tanatos.stm

W32/Bugbear@MM
http://vil.nai.com/vil/content/v_99728.htm

W32/Bugbear.A@mm
http://www.norman.com/virus_info/w32_bugbear_a_mm.shtml

W32/Bugbear
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Bugbear

W32/Bugbear-A
http://www.sophos.com/virusinfo/analyses/w32bugbeara.html

W32/Bugbear@MM
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Bugbear@MM

W32.Bugbear@mm
http://www.symantec.com/avcenter/venc/data/w32.bugbear@mm.html

WORM_BUGBEAR.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BUGBEAR.A&VSect=T

W32/Bugbear.A (Tanatos), un gusano de rápida propagación
http://www.vsantivirus.com/bugbear-a.htm

Compártelo: