Os Anti-virus atualizados estao detectando o bugbear pelos seguintes variants:
NATOSTA.A
W32/Bugbear-A
Tanatos
W32/Bugbear@MM
I-Worm/Keywo
Este worm se propaga atravez de unidades compatilhadas em uma rede ou Email's infectados, ele desabilita os anti-virus mais conhecidos impedindo sua remocao, o bugbear tb abre portas em seu pc criando um server q permite conexoes remotas no qual o usuario remoto pode pegar suas senhas e sugar arquivos, ter total acesso a suas unidades de disco...
O Bugbear vem anexado a emails infectados junto a seguintes msgs:
$150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Confirmation of Recipes…
Correction of errors
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
hello!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
Payment notices
Please Help...
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
Your Gift
Your News Alert!
Executaveis de anti-virus comuns q ele remove da memoria:
ZONEALARM.EXE, WFINDV32.EXE, WEBSCANX.EXE, VSSTAT.EXE, VSHWIN32.EXE, VSECOMR.EXE, VSCAN40.EXE, VETTRAY.EXE, VET95.EXE, TDS2-NT.EXE, TDS2-98.EXE, TCA.EXE, TBSCAN.EXE, SWEEP95.EXE, SPHINX.EXE, SMC.EXE, SERV95.EXE, SCRSCAN.EXE, SCANPM.EXE, SCAN95.EXE, SCAN32.EXE, SAFEWEB.EXE, RESCUE.EXE, RAV7WIN.EXE, RAV7.EXE, PERSFW.EXE, PCFWALLICON.EXE, PCCWIN98.EXE, PAVW.EXE, PAVSCHED.EXE, PAVCL.EXE, PADMIN.EXE, OUTPOST.EXE, NVC95.EXE, NUPGRADE.EXE, NORMIST.EXE, NMAIN.EXE, NISUM.EXE, NAVWNT.EXE, NAVW32.EXE, NAVNT.EXE, NAVLU32.EXE, NAVAPW32.EXE, N32SCANW.EXE, MPFTRAY.EXE, MOOLIVE.EXE, LUALL.EXE, LOOKOUT.EXE, LOCKDOWN2000.EXE, JEDI.EXE, IOMON98.EXE, IFACE.EXE, ICSUPPNT.EXE, ICSUPP95.EXE, ICMON.EXE, ICLOADNT.EXE, ICLOAD95.EXE, IBMAVSP.EXE, IBMASN.EXE, IAMSERV.EXE, IAMAPP.EXE, FRW.EXE, FPROT.EXE, FP-WIN.EXE, FINDVIRU.EXE, F-STOPW.EXE, F-PROT95.EXE, F-PROT.EXE, F-AGNT95.EXE, ESPWATCH.EXE, ESAFE.EXE, ECENGINE.EXE, DVP95_0.EXE, DVP95.EXE, CLEANER3.EXE, CLEANER.EXE, CLAW95CF.EXE, CLAW95.EXE, CFINET32.EXE, CFINET.EXE, CFIAUDIT.EXE, CFIADMIN.EXE, BLACKICE.EXE, BLACKD.EXE, AVWUPD32.EXE, AVWIN95.EXE, AVSCHED32.EXE, AVPUPD.EXE, AVPTC32.EXE, AVPM.EXE, AVPDOS32.EXE, AVPCC.EXE, AVP32.EXE, AVP.EXE, AVNT.EXE, AVKSERV.EXE, AVGCTRL.EXE, AVE32.EXE, AVCONSOL.EXE, AUTODOWN.EXE, APVXDWIN.EXE, ANTI-TROJAN.EXE, ACKWIN32.EXE, _AVPM.EXE, _AVPCC.EXE, _AVP32.EXE
Conexao remota ao PC infectado
Eu nao ia comentar nda sobre como conectar-se remotamente a um pc infectado com o bugbear.. mas mtos teriam esta curiosidade e iam encher minha caixa de email :P entao já falo já.
O virus abre a porta 80(http) em seu pc e da pra vc listar todos arquivos fazer uploads/downloads apagar e tudo mais atravez de um navegador como o internet explorer..
O virus qdo executado em seu pc ele cria uma nova copia dele mesmo e grava toda sua lista de contatos junto ao .EXE q vai repassar para outroa pessoa, junto a este .exe ele envia tambem anexado algum arquivo randonomico do se HD, um TXT, BMP, DOC ou algum tipo de arquivo comum encontrado no seu PC.
Se vc nao instalou o patch de atualizacao do bug de IFRAME no Internet explorer 5.0 ou 5.5 o virus é executado automaticamente qdo vc le o email
Obs: eu falo desse patch no tutorial sobre o virus I-Worm/Nimda
http://www.infohelp.org/article.php?sid=39
Alem de zoar seu teclado ele tb acumula trabalhos no spool de sua impressora, ou seja.. sua impressora fica imprimindo folhas em branco ou caracteres estranhos sem vc dar comando algum.. é mto comum isto em redes locais infectadas pelo BugBear, varias pessoas relataram isto no #Manutencao, e andei pesquisando e o sintoma é real.
Remoçao manual
Primeiramente identifique o EXEcutavel principal do Bugbear.. ele esta carregado em sua memoria, para identificar abra o windows task manager(ctrl+alt+del) na listagem dos programas localize o programa com nome estranho, e feche depois apague do HD este programa, no windows9x/ME nao aparece na listagem de programas, vc precisa de um proccess viwer para localizar, já no winXP e win2000 da pra vc listar o processos, localize la o programa estranho e feche e apague.
Obs: da pra vc ter certeza se realmente vai apagar o arquivo certo.. pois o virus fica no Windows/System e tem 50688bytes e seu nome geralmente é algo assim zxcsdw.exe ele tb usa uma DLL pra Keylogging responsavel por gravar tudo q vc escreve.. q pode ser acessada pelo usuario remoto.. apagando o executavel do virus esta dll nao funcioma mais.. mas apaguea tb :) a dll tem 5632bytes e tem um nome parecido com o do virus hhbxhss.dll
Apague tambem a chave de auto-inicalizacao do virus q fica no registro do windows em: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>RunOnce
Como identificar este programa? se vc for um usuario q vive fuçando em seu pc e conhece todos programas q rodam, pelo nome estranho do programa vc vai identificar.. caso nao consiga identificar baixe algum dos anti-virus abaixo.
Remoçao automatica atravez anti-virus
Symantec Fix-Bugbear:
http://securityresponse.symantec.com/avcenter/FxBgbear.exe
Panda Quick Remover:
http://cacique.satnet.net/pub/windows/utilitarios/antivirus/panda/pqremove.com
Fonte: AVP DB, Kaspersky, NAV
by intrµder