Descrizione Breve

Una nuova variante polimorfica del worm Bugbear si e' diffusa il 5 Giugno 2003.
Il worm invia email con contenuti variabili. Utilizza una vulnerabilita' nota per eseguirsi in automatico.

Tool di disinfezione

F-Secure ha creato un tool per la rimozione di Bugbear.B. Le istruzioni sono contenute all'interno del file zip. Il tool e' disponibile al seguente link: Download

Descizione dettagliata

Il file del worm e' un eseguibile Windows PE compresso con UPX e criptato con un semplice algoritmo.
La dimensione del worm e' 72192 bytes, mentre quando e' decompresso ha dimensione pari a 170 kilobytes

Installazione sul computer

Quando e' eseguito il worm si installa nel sistema infettando varie utility del sistema e applicazioni largamente diffuse. I seguenti programmi vengono infettati:

%ProgramFilesDir%\winzip\winzip32.exe
%ProgramFilesDir%\kazaa\kazaa.exe
%ProgramFilesDir%\ICQ\Icq.exe
%ProgramFilesDir%\DAP\DAP.exe
%ProgramFilesDir%\Winamp\winamp.exe
%ProgramFilesDir%\AIM95\aim.exe
%ProgramFilesDir%\Lavasoft\Ad-aware 6\Ad-aware.exe
%ProgramFilesDir%\Trillian\Trillian.exe
%ProgramFilesDir%\Zone Labs\ZoneAlarm\ZoneAlarm.exe
%ProgramFilesDir%\StreamCast\Morpheus\Morpheus.exe
%ProgramFilesDir%\QuickTime\QuickTimePlayer.exe
%ProgramFilesDir%\WS_FTP\WS_FTP95.exe
%ProgramFilesDir%\MSN Messenger\msnmsgr.exe
%ProgramFilesDir%\ACDSee32\ACDSee32.exe
%ProgramFilesDir%\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
%ProgramFilesDir%\CuteFTP\cutftp32.exe
%ProgramFilesDir%\Far\Far.exe
%ProgramFilesDir%\Outlook Express\msimn.exe
%ProgramFilesDir%\Real\RealPlayer\realplay.exez
%ProgramFilesDir%\Windows Media Player\mplayer2.exe
%ProgramFilesDir%\WinRAR\WinRAR.exe
%ProgramFilesDir%\adobe\acrobat 5.0\reader\acrord32.exe
%ProgramFilesDir%\Internet Explorer\iexplore.exe
%WinDir%\winhelp.exe
%WinDir%\notepad.exe
%WinDir%\hh.exe
%WinDir%\mplayer.exe
%WinDir%\regedit.exe
%WinDir%\scandskw.exe

dove %ProgramFilesDir% e' la cartella di instalalzione di default delle applicazioni (Programmi) e %WinDir% e' la cartella di Windows.

IL worm puo' anche copiare i propri file nella cartella di Avvio Automatico con un nome scelto a caso oppure Setup.exe; in questo modo viene eseguito in automatico al prossimo riavvio.
E' possibile che venga installata una componente di keylogging all'interno della cartella di sistema di Windows. Questa componente ha un nome scelto a caso e estensione .dll. Il nome potrebbe, ad esempio, essere MGLKCKK.DLL. Vengono inoltre creati altri 2 file all'interno della cartella di sistema in cui sono salvati, in modo crittato, dati utilizzati dal worm.

Diffusione via Email

Il worm si diffonde per mezzo di e-mail infette. Ha un suo motore SMTP interno.
Per trovare gli indirizzi e-mail verso cui propagarsi il worm cerca nei file con queste estensioni:

.ODS
.MMF
.NCH
.MBX
.EML
.TBB
.DBX
INBOX

Alcuni di questi file sono database contenenti svariati indirizzi e-mail. Il worm si autoinvia a tutti gli indirizzi trovati evitando quelle che contengono le seguenti stringhe:

remove
spam
undisclosed
recipients
noreply
lyris
virus
trojan
mailer-daemon
postmaster@
root@
nobody@
localhost
localdomain
list
talk
ticket
majordom

Il soggetto dei messaggi infetti e' preso casualmente da file del computer infetto oppure viene scelto tra i seguenti:

Greets!
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!

Il corpo del messaggio infetto puo' essere vuoto oppure puo' contenere un testo estratto da un file scelto casualmente dal computer infetto. Il body del messaggio puo' contenere l'exploit I-Frame. Quest'ultimo permette al worm di eseguirsi automaticamente su alcuni computer quando una e-mail infetta viene aperta (ad esempio, con Outlook e IE 5.0 or 5.01). Questa vulnerabilita' viene corretta dalla patch reperibile sul sito di Microsoft all'indirizzo:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-020.asp

Il nome dell'allegato puo' essere SETUP.EXE o puo' contenere una delle seguenti parole:

readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data

Il worm puo' inoltre scegliere il nome dell'allegato con cui si invia, scegliendo in modo casuale tra i file presenti sul computer infetto. L'estensione dell'allegato e' scelta fra le seguenti:

exe
scr
pif

Nel caso in cui il worm usi il nome di un file presente sul computer infetto l'allegato potrebbe avere due o più estensioni, ad esempio DOCUMENT.DOC.EXE. Il worm controlla l'estensione del file e setta il content type dell'allegato in modo appropriato.

Le estensioni controllate sono:

reg
ini
bat
h
diz
txt
cpp
c
html
htm
jpeg
jpg
gif
cpl
dll
vxd
sys
com
exe
bmp

I content type utilizzati sono:

image/gif
image/jpeg
application/octet-stream
text/plain
text/html

Il worm falsifica l'indirizzo del mittente della mail.

Diffusione nelle Reti Locali
Il worm ha la capacita' di infettare i computer connessi ad una rete locale. Prima di avviare la sua routine di infezione aspetta un certo periodo di tempo. Quando inizia il tentativo di diffusione, enumera gli share di rete, si connette ad essi e prova ad infettare i seguenti file presenti nelle cartelle "Program Files" (Programmi) e "Windows" sui computer remoti:

\winzip\winzip32.exe
\kazaa\kazaa.exe
\ICQ\Icq.exe
\DAP\DAP.exe
\Winamp\winamp.exe
\AIM95\aim.exe
\Lavasoft\Ad-aware 6\Ad-aware.exe
\Trillian\Trillian.exe
\Zone Labs\ZoneAlarm\ZoneAlarm.exe
\StreamCast\Morpheus\Morpheus.exe
\QuickTime\QuickTimePlayer.exe
\WS_FTP\WS_FTP95.exe
\MSN Messenger\msnmsgr.exe
\ACDSee32\ACDSee32.exe
\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
\CuteFTP\cutftp32.exe
\Far\Far.exe
\Outlook Express\msimn.exe
\Real\RealPlayer\realplay.exe
\Windows Media Player\mplayer2.exe
\WinRAR\WinRAR.exe
\adobe\acrobat 5.0\reader\acrord32.exe
\Internet Explorer\iexplore.exe
\winhelp.exe
\notepad.exe
\hh.exe
\mplayer.exe
\regedit.exe
\scandskw.exe

Inoltre il worm prova a localizzare la directory di Avvio Automatico sui computer remoti e si copia con il nome SETUP.EXE o con un nome casuale ed estensione .EXE.

Il risultato di questa azione e' che i computer remoti saranno infettati al riavvio delle macchine oppure dopo l'esecuzione di uno dei file infetti.

Processi Fermati

Il worm uccide i processi di alcuni anti-virus, di progammi di sicurezza ed di altri progammi generici. Crea una lista dei processi attivi ogni 20 secondi e termina processi il cui nome coincide con uno dei seguenti:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE

Il worm ha routine distinte per fermare i processi. Queste routine dipendono dal sistema operativo.

Banche

l computer contiene una ampia lista di domini che per la maggior parte appartengono a banche. All'avvio verifica se il dominio del computer infettato appartiene ad uno di quelli presenti nella lista e se il controllo e' positico avvia la funzione di AutoDial modificando la chiave del registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"EnableAutodial"=dword:00000001

I domini presenti nella lista appartengono a banche di differenti nazioni fra le quali: Italia,Francia, Regno Unito, Germania, Australia, Grecia, Danimarca, Nuova Zelanda, Spagna, Brasile, Romania, Polonia, Argentina, Svizzera, Finlandia, Taiwan, Turchia, Islanda, Slovenia, Corea, USA, Sud Africa, Repubbliche Baltiche, Austria, Ungheria, Norvegia, Repubblica Ceca e altre.

Effetti collaterali

In base ai report le stampanti di rete possono stampare pagine contenenti caratteri senza senso quando il worm inizia a diffondersi in rete. Questo puo' essere un effetto del tentativo di infezione della rete.

Backdoor

Il worm contiene una componente di backdoor simile a quella usata nella versione precedente. La backdoor ascolta sulla porta TCP 1080 ed e' possibile inviare i seguenti comandi:

* informazioni sul computer infettato
* upload e download di file
* esecuzione di file
* eliminazione di file
* terminazione di processi
* lista dei processi in esecuzione
* avvio del keylogger
* avvio di un server web su una porta a scelta

L'interfaccia Web di Bugbear e' la seguente:

La backdoor presente in Bugbear.B non usa, a differenza della variante precedente, un sistema di autenticazione e quindi puo' essere usato da chiunque e non solo dall'autore del worm.

Rilevazione

F-Secure Anti-Virus rileva e disinfetta il worm Bugbear.B con le impronte rilasciate il 6 Giugno 2003:

[FSAV_Database_Version]

Version=2003-06-06_02

F-Secure Corporation