ЗАО ДиалогНаука Вирусная библиотека
Главная страница
Наши продукты
Купить антивирус
Скачать версию
Нашим пользователям
Форум Doctor Web
О компании
 Наименование вируса:   Win32.HLLM.Bugbear  
  Добавлен в вирусную базу Dr.Web
1 октября 2002 года 13:20, горячее дополнение к версии 4.28
  Другие названия:
W32/Bugbear@MM, WORM_NATOSTA.A, W32.Bugbear@mm, W32/Bugbear.worm, Win32Bugbear, Worm/Tanatos, W32/Bugbear-A , W32/Bugbear.A@mm
  Тип:
почтовый червь массовой рассылки
  Уязвимые операционные системы:
Windows 95/98/ME/NT/2002/XP
  Признаки инфицирования:
  • поступление в почтовый ящик письма с вложением, имя файла которого содержит в себе двойное расширение, при этом длина файла равняется 50688 байт (данный признак не является признаком инфицирования, однако служит указателем на возможное присутствие в поступившей почте данного червя, и, при определенных условиях, на возможность заражения)
  • наличие в системной директории Windows и в папке автозагрузки локального компьютера файлов с названиями из случайно выбранных символов и расширением .exe
  • наличие файлов в формате .dll и .dat в директории %Windows% (по умолчанию - C:\Windows) с названиями из произвольно выбранных символов
  • наличие в системном реестре записи
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"%набор случайных символов%" = %название файла,состоящее из набора случайно выбранных символов%.EXE
  • самопроизвольное прекращение работы межсетевых экранов (брандмауэров), а также антивирусного программного обеспечения
  • самопроизвольное распечатывание принтерами различного "мусора"
    •   Описание вируса:
    Win32.HLLM.Bugbear - вирусная программа-червь. Написана на языке программирования высокого уровня Microsoft Visual C/C++ и упакована упаковщиком UPX. Программа содержит в себе троянский компонент и после попадания на компьютер открывает в пораженной системе люк, что может привести к утечке конфиденциальной информации с компьютера пользователя. Предпринимает также попытки завершить работу некоторых антивирусных программ и межсетевых экранов (брандмауэров).

    Червь массово распространяется по электронной почте, используя собственную реализацию протокола SMTP, чем существенно увеличивает нагрузку на почтовые сервера. Данные об SMTP-серверах, доступных с зараженного компьютера, червь берет из записей в системном реестре

    HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts
    Червь также обладает возможностью распространяться по сетевым дискам, доступным для совместного использования.

    Для попадания на компьютер жертвы использует давно известную уязвимость в системе безопасности MS Internet Explorer, которая позволяет вложенному в письмо программному файлу (с вирусом) автоматически запускаться при простом просмотре почты в таких клиентах, как MS Outlook и MS Outlook Express (версии 5.01 и 5.5). Подробная информация о вышеупомянутой уязвимости в системе безопасности Microsoft Internet Explorer и способах ее устранения опубликована в соответствующем разделе официального сайта компании Microsoft.

    ЗАО "ДиалогНаука" настоятельно рекомендует пользователям указанных программ установить у себя все обновления и патчи, публикуемые фирмой Microsoft!В случае, если у Вас установлены все патчи для используемых Вами вышеуказанных версий MS Outlook и MS Outlook Express, вирус сможет заразить Ваш компьютер только при условии двойного щелчка мышкой по инфицированному вложению.

    Поступившее на компьютер пользователя почтовое сообщение, инфицированное Win32.HLLM.Bugbear обладает следующими характеристиками:

    Тема сообщения: не имеет четко определенной темы, а выбирается червем из списка тем, хранящихся в его коде.

    Наименование вложения варьируется, но всегда содержит два расширения, последнее из которых будет .exe, .scr или .pif. В названии вложения также могут использоваться следующие слова: Card, Docs, image,images, music, news, photo, readme, resume, Setup, song, video.

    Размер вложения: всегда 50,688 байт

      Инфицирование системы:
    После попадания на компьютер пользователя, в системную директорию Windows червь помещает свою копию - файл с названием из случайно выбранных символов и расширением .exe. При тестировании были получены, например, следующие наименования файлов:
  • C:\WINDOWS\SYSTEM\HHOM.EXE
  • C:\WINDOWS\SYSTEM\VAAJ.EXE

    • Для обеспечения автоматического запуска своих вредоносных копий в реестровую запись
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    червь добавляет данные "%набор случайно выбранных символов%" = %название файла,состоящее из набора случайно выбранных символов%.EXE. При тестировании была получена, например, следующая реестровая запись
    llw = hhom.exe

    Тот же принцип используется червем при помещениия своей копии в стартовой директории зараженного компьютера, а также доступных для совместного использования сетевых дисков.

    Далее червь создает три зашифрованных файла в формате .dll и два файла в формате .dat в директории системной Windows. Названия файлов формируются червем из произвольно выбранных символов и не несут в себе вредоносного кода и могут быть, например, DDGUJUG.DLL, FFKQPQK.DLL.

    Отмечены случаи массовой распечатки вирусом своего кода (а вернее, просто "мусора") на принтерах, зарегистрированных на зараженных компьютерах. В ряде случаев выдача на печать больших объемов информации приводила к полному расходованию бумаги в принтерах. Нередко именно по этому признаку люди узнавали, что их компьютеры заражены.

    Поселившись в системе, червь предпринимает попытки завершить работу некоторых антивирусных программ и межсетевых экранов. Антивирус Dr.Web в списке процессов, которые червь пытается остановить, отсутствует, что обеспечивает стабильную работу сканера Doctor Web для Windows и гарантированное обнаружение червя уже на стадии сканирования файлов, прописанных в разделе автозагрузки системного реестра. Никакого влияния не оказывает червь и на работу резидентного антивирусного монитора Spider Guard, который, к тому же, не допустит и заражения компьютера этим червем в случае поступления инфицированного письма в почтовый ящик.

    Внимание! В случае, если при запуске антивирусного сканера Doctor Web обнаружено присутствие в системе   Win32.HLLM.Bugbear  , настоятельно рекомендуется полностью проверить компьютер сканером для полного удаления всех копий червя, в том числе и из папки автозапуска.

    Червь также открывает порт 36794, по которому начинает слушать Интернет в ожидании комманд своего "хозяина". Данный троянский компонент червя позволяет ему также загружать и выгружать из системы файлы, приводить в действие команды, запуская или прекращая работу исполняемых файлов.

     Главная |  Продукты |  Купить |  Скачать |  Пользователям |  Форум 

    © 2002, ЗАО "ДиалогНаука" antivir@antivir.ru