Nombre de virus: W32/Bugbear@MM
Alias conocidos: I-Worm.Tanatos
Riesgo Infección: Muy Alto (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero infectado y/o lectura e-mail infectado
Propagación: A través de e-mail y de recursos de red
Detección: desde DATS 4226
Motor necesario: desde 4.1.60
Infección actual: Media (Inicial, Media, Elevada)

W32/Bugbear@MM es un virus escrito en MSCV y empaquetado con UPX. Propaga a través de comparticiones de red, se autoenvía por correo electrónico, y explota la conocida vulnerabilidad MIME/IFRAME de Ms Internet Explorer. También contiene un componente troyano backdoor que contiene funcionalidad keylogging (registra las teclas pulsadas por el usuario)

Cambios en el sistema

La ejecución del gusano hace que se copie al directorio \Windows\System y a la carpeta Inicio como un fichero con extensión .EXE de nombre aleatorio.

Luego, configura la siguiente clave del registro para provocar su ejecución al reiniciar el sistema:

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce "%letras aleatorias%"= %nombre de fichero aleatorio%.EXE

Propagación Mass-mailing

Este gusano se envía a todas la direcciones de correo electrónico que encuentra en el sistema local, utilizando un motor SMTP propio. El código del virus contiene cadenas de texto que utiliza como asunto del mensaje y también para el nombre del fichero adjunto. De todos modos, existe una alta probabilidad de que el virus utilice palabras y nombres de fichero que encuentre en el propio equipo infectado.

Propagación por comparticiones de red

El gusano intenta generar una copia de sí mismo en la carpeta Inicio de los equipos remotos de la red, para provocar su ejecución al reiniciar dichos equipos.

Componente Troyano

La ejecución del gusano abre el puerto TCP/36794 y busca la presencia de diferentes procesos que estén corriendo en el sistema, para detenerlos. La lista de procesos incluye diferentes productos antivirus y cortafuegos conocidos.

w32/Bugbear actúa también como servidor de acceso remoto, y un atacante podría subir y descargar ficheros, ejecutar programas y terminar procesos de un ordenador infectado.

En el equipo infectado genera un fichero DLL (componente keylogger) que se detecta como PWS-Hooker.dll.

Genera Trabajos de Impresión en Impresoras de Red

Un detalle muy sintomático de la presencia de este gusano (y que nos han reportado numerosos usuarios), es el envío de tareas de impresión no solicitadas a todas las impresoras de la red.

Método de eliminación del virus:

Para sistemas operativos Windows 95,98 y Me:

.- Actualizar el antivirus con el SuperDAT actual

.- Descargar la utilidad ELIBUGB.EXE

.- Descargar la utilidad LIMPIA.EXE

.- Desactivar el Antivirus

.- Ejecutar la utilidad ELIBUGB.EXE

.- Apagar el equipo, y volver a iniciarlo en modo 'Sólo símbolo del sistema'

.- Ejecutar LIMPIA

Para sistemas operativos Windows NT, 2000 y XP:

.- Actualizar el antivirus con el SuperDAT actual

.- Descargar la utilidad ELIBUGB.EXE

.- Descargar la utilidad LIMPIANT.BAT

.- Desactivar el antivirus

.- Ejecutar la utilidad ELIBUGB.EXE

.- Apagar el equipo, y volver a iniciarlo (sólo en el caso de tener NT 4.0)

.- Desactivar el antivirus

.- Ejecutar LIMPIANT

Es posible proceder con la detección y eliminación de W32/Bugbear@MM haciendo uso de DATS y motor arriba indicados (en caso de dificultad con la eliminación, pueden contactar con el servicio hotline de Satinfo).

Anterior