Win32/BugBear.A

Win32/BugBear.A je Internetov²m wormem, vytvo°en²m v programovacφm jazyce Microsoft C a zabalen²m programem UPX. Worm je dlouh² 50688 slabik a Üφ°φ se pomocφ elektronickΘ poÜty a po sdφlen²ch discφch lokßlnφ sφt∞. Do systΘmu navφc instaluje trojskΘho kon∞, kter² je schopen zaznamenßvat stisknutΘ klßvesy a odpovφdat na povely zvenΦφ. Worm p°ichßzφ jako nßhodn∞ pojmenovan² soubor p°ipojen² ke zprßv∞. P°edm∞t a obsah zprßvy mohou b²t velmi r∙znorodΘ, dokonce v r∙zn²ch jazycφch. Worm vyu₧φvß dlouho znßmΘ bezpeΦnostnφ dφry IFrame, kterß umo₧≥uje automatickΘ spuÜt∞nφ v systΘmech, kterΘ nejsou sprßvn²m zp∙sobem opraveny pomocφ p°φsluÜnΘ zßplaty firmy Microsoft.

Po spuÜt∞nφ infikovanΘho souboru se worm nakopφruje do adresß°e WINDOWS\SYSTEM pod nßhodn²m Φty°znakov²m jmΘnem, pak se nakopφruje do adresß°e Windows STARTUP pod nßhodn²m t°φznakov²m jmΘnem. Pak se pokouÜφ rozÜφ°it po lokßlnφ sφti na vzdßlenΘ poΦφtaΦe, kterΘ majφ nastavenΘ sdφlenΘ disky, a to pod nßhodn²m t°φznakov²m jmΘnem. TakΘ otevφrß port 36794 a poslouchß, zda nep°ichßzejφ povely zvenΦφ. Worm pak vypustφ trojskΘho kon∞ - program pro zaznamenßvßnφ stisknut²ch klßves - a to do nßsledujφcφch soubor∙: C:\WINDOWS\SYSTEM\ICCYOA.DLL, C:\WINDOWS\SYSTEM\LGGUQAA.DLL, C:\WINDOWS\SYSTEM\ROOMUAA.DLL, C:\WINDOWS\OKKQSA.DAT a C:\WINDOWS\USSOWA.DAT. P°i Üφ°enφ po lokßlnφ sφti m∙₧e worm zp∙sobit tisk nesmysln²ch znak∙ na sφ¥ov²ch tiskßrnßch.

Worm vytvß°φ nßsledujφcφ polo₧ku v registry: 

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\"tie" = "****.EXE"

Worm se takΘ sna₧φ vy°adit z Φinnosti °adu antivirov²ch program∙ a firewall∙:
_AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, ACKWIN32.EXE, ANTI-TROJAN.EXE, APVXDWIN.EXE, AUTODOWN.EXE, AVCONSOL.EXE, AVE32.EXE, AVGCTRL.EXE, AVKSERV.EXE, AVNT.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPDOS32.EXE, AVPM.EXE, AVPTC32.EXE, AVPUPD.EXE, AVSCHED32.EXE, AVWIN95.EXE, AVWUPD32.EXE, BLACKD.EXE, BLACKICE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLAW95.EXE, CLAW95CF.EXE, CLEANER.EXE, CLEANER3.EXE, DVP95.EXE, DVP95_0.EXE, ECENGINE.EXE, ESAFE.EXE, ESPWATCH.EXE, F-AGNT95.EXE, F-PROT.EXE, F-PROT95.EXE, F-STOPW.EXE, FINDVIRU.EXE, FP-WIN.EXE, FPROT.EXE, FRW.EXE, IAMAPP.EXE, IAMSERV.EXE, IBMASN.EXE, IBMAVSP.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFACE.EXE, IOMON98.EXE, JEDI.EXE, LOCKDOWN2000.EXE, LOOKOUT.EXE, LUALL.EXE, MOOLIVE.EXE, MPFTRAY.EXE, N32SCANW.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVNT.EXE, NAVW32.EXE, NAVWNT.EXE, NISUM.EXE, NMAIN.EXE, NORMIST.EXE, NUPGRADE.EXE, NVC95.EXE, OUTPOST.EXE, PADMIN.EXE, PAVCL.EXE, PAVSCHED.EXE, PAVW.EXE, PCCWIN98.EXE, PCFWALLICON.EXE, PERSFW.EXE, RAV7.EXE, RAV7WIN.EXE, RESCUE.EXE, SAFEWEB.EXE, SCAN32.EXE, SCAN95.EXE, SCANPM.EXE, SCRSCAN.EXE, SERV95.EXE, SMC.EXE, SPHINX.EXE, SWEEP95.EXE, TBSCAN.EXE, TCA.EXE, TDS2-98.EXE, TDS2-NT.EXE, VET95.EXE, VETTRAY.EXE, VSCAN40.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSSTAT.EXE, WEBSCANX.EXE, WFINDV32.EXE a ZONEALARM.EXE.

Worm se pak sna₧φ najφt dalÜφ ob∞ti - hledß emailovΘ adresy v adresß°i Windows a v souborech na disku, kterΘ majφ nßsledujφcφ p°φpony: MMF, NCH, MBX, EML, TBB a DBX. Pro posφlßnφ sebe sama pou₧φvß svoji vlastnφ SMTP rutinu, kterß se sna₧φ najφt vhodn² SMTP server na nßsledujφcφ polo₧ce v registry: 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts

Worm falÜuje pole FROM (Od) podobn∞, jako to d∞lß virus Win32/Klez.H. Je proto tak°ka nemo₧nΘ zjistit skuteΦnΘho odesφlatele infikovanΘ zprßvy, a tak najφt infikovan² poΦφtaΦ.

Odstran∞nφ:
Sma₧te vÜechny programy napadenΘ a vytvo°enΘ virem Win32:BugBear. Pokud je virus aktivnφ, p°φstup k n∞kter²m soubor∙m m∙₧e b²t zablokovßn. Proto je pot°eba nap°ed worm deaktivovat - bu∩ p°es Task Manager nebo odstran∞nφm jeho klφΦe v registry a nabootovßnφm poΦφtaΦe.

JednoduÜÜφ mo₧nostφ je spustit jedno·Φelov² antivirus ze strßnky "1.Pomoc"


Jedno·Φelov² antivirus:

AECClean 2L
  • Popis/pou₧itφ: Odstra≥uje °adu vir∙ pro operaΦnφ systΘm DOS, vΦetn∞ One_Half.

    Win32/BugBear.A
  • Popis/pou₧itφ: Z Windows.

    		•

    N∞kolik dobr²ch rad:

    P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

    Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

    Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

    Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.