I-Worm: W32.Bugbear-A (Tanatos) 2 Oktober 2002 - Eind vorige maand kwam deze worm in beeld. Nu reeds in de alarmfase voor dit virus die bekender dreigt te worden dan "I love You".
Het BugBear virus slaat momenteel keihard toe. Wereldwijd is het virus al meer dan 100.000 keer onderschept door antivirussoftware gedurende twee dagen tijd. Het virus overstijgt inmiddels ruimschoots het Klez.H virus, wat tot september het meest actieve virus was. BugBear-Tanatos is een mass-mailer internetworm en verspreid zich via het Internet als een attachment (bijlage) van geïnfecteerde emails. Het copieëerd zichzelf ook over lokale netwerken (LAN's) om alle segmenten volledig te openen voor benadering en doorloopt 'backdoor' en 'PSW trojan' routines. Het heeft sterk wisselende eigenschappen en is in het bezit van het backdoor component. Hierdoor is de virusschrijver c.q. hacker in staat om creditcard-details en wachtwoorden opgeslagen op het systeem te ontvreemden. Het moeilijk te herkennen virus BugBear komt per e-mail en spoort, zo lang het in het systeem zit, informatie op over het betalingsverkeer zoals nummers van creditcards of codes en wachtwoorden die bij betalingen worden gebruikt. Met name de moeilijke herkenbaarheid van besmetting zorgt ervoor dat het virus op getroffen systemen lang actief kan blijven. Het gebruikt voor de verzending van het virus een ander afzendadres dan die van de werkelijke afzender. (jargon: spoofie) Het is daarmee moeilijk om mensen die daadwerkelijk met een besmet systeem werken te informeren. De BugBear-Tanatos worm zelf is een Windows PE EXE file van ongeveer 50KB in grootte (het is gecomprimeerd door het UPX programma), en geschreven in Microsoft Visual C++. Herkenning: De geïnfecteerde mails hebben verschillende Onderwerpen (Subjects), Boodschappen (Bodies), en Bijlagen (Attached file names). De worm stuurt 2 soorten boodschappen waar die random uit kiest. In het eerste geval misbruikt het de IFrame beveiliging (breach). Het resultaat is dat de activering plaats vindt wanneer de mail geopend wordt (ook door preview) op een kwetsbaar systeem. In het tweede geval gebruikt de worm deze "breach tricks" niet en vind activering alleen plaats wanneer de bijlage wordt geopend. Het onderwerp wordt willekeurig gekozen. Hieronder een aantal varianten:
De boodschap zelf wordt willekeurig geselecteerd door BugBear-Tanatos van een willekeurig bestand op de harde schijf. De bijlage is ook willekeurig gekozen en kan zelfs een dubbele extensie hebben. Bijvoorbeeld: filename.XLS.SCR Installatie door het virus: Tijdens installatie copieert de worm zichzelf naar de Windows systeem directory met een willekeurige naam en registreert zich in de system registry auto-run key: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce De .EXE bestandsnaam van de worm is afhankelijk van de naam van de C-schijf. Bijvoorbeeld: FYOM.EXE of YOK.EXE Een copie van dit .EXE bestand wordt geplaatst in de standaard Windows-opstartdirectorie. Hierdoor het virus iedere keer na het starten van windows automatisch wordt geactiveerd. De worm plaatst een 5-tal, .DLL bestanden op uw systeem (Deze bevatten de backdoor-code). Deze worden allen geplaatst in de standaard Windows\System directorie. (Meestal C:\Windows\System) De virusschrijver krijgt vervolgens toegang tot, en volledige controlle over het systeem via TCP poort 36794.
Overigen
Vervolgens zendt het virus zich door naar alle berichten (als reply) in het "Postvak IN". Tanat Tanatos W32/Bugbear.A@mm W32/Tanat W32.Tanatos U kunt 4 tools vinden onder het kopje "antivirus-verwijderingstools" op de linkpagina van: Mocht uw PC besmet zijn en de problemen blijven hardnekkig, laat het ons weten via een mailtje.
|