W32.Bugbear@mm

Scoperto in data: 30/09/2002

Ultimo aggiornamento in data: 26/10/2004

NOTA: in data 24 ottobre 2003, a causa di una diminuzione dei casi riportati relativi a questo worm, il Symantec Security Response ha modificato il livello di gravità di W32.Bugbear@mm, portandolo da livello 3 a livello 2.

W32.Bugbear@mm è un mass-mailing worm (cioè una minaccia che si distribuisce su vasta scala tramite posta elettronica). E' anche in grado di propagarsi su condivisioni di rete; memorizza ciò che viene digitato tramite tastiera; ha funzionalità di backdoor (vale a dire: consente il controllo remoto del computer da parte di terzi) cerca di interrompere i processi di numerosi programmi antivirus e firewall.

Poiché il worm non gestisce correttamente i vari tipi di risorse di rete è possibile che ingombri le risorse della stampante, provocando stampe sbagliate o comunque compromettendo il normale funzionamento della stampante.

W32.Bugbear@mm è scritto in linguaggio Microsoft Visual C++ 6 ed è compresso mediante UPX v0.76.1-1.22.

Noto anche come: W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure]

Tipo: worm

Lunghezza dell’infezione: 50.688 byte

Sistemi operativi minacciati: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

Sistemi operativi non minacciati: DOS, Linux, Macintosh, UNIX, Windows 3.x

Riferimenti CVE: CVE-2001-0154

protezione

Definizioni dei virus (LiveUpdate™ Weekly)

30/09/2002

Definizioni dei virus (Intelligent Updater)

30/09/2002

valutazione della minaccia

Wild

Grafico della minaccia

Wild: Bassa	Danno: Media	Distribuzione: Alta

Danno

Codice nocivo (payload):
- Distribuzione di massa tramite posta elettronica: Tenta di inviarsi in massa tramite posta elettronica a tutti gli indirizzi e-mail trovati su un host compromesso, grazie al proprio motore SMTP.
- Compromissione delle impostazioni di sicurezza: Può consentire l'accesso a macchine compromesse anche senza adeguate autorizzazioni. Tenta di terminare i processi di vari programmi antivirus e firewall.

Distribuzione

Oggetto del messaggio: Variabile
Nome dell’allegato: Variabile, con una doppia estensione che termina per .exe, .scr o .pif
Dimensioni dell’allegato: 50.688 byte
Porte: 36794
Unità condivise: Tenta di connettersi alle risorse di rete disponibili.

informazioni tecniche

Quando è in esecuzione, W32.Bugbear@mm esegue le seguenti operazioni:

Si riproduce come file %system%\????.exe, dove ? rappresenta una qualsiasi lettera dell'alfabeto, a scelta del virus.

NOTE: %system% è una variabile. Il worm individua la cartella di sistema e vi si insedia. Per impostazione predefinita tale cartella si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).

Il worm si autoreplica sulla cartella \Esecuzione automatica, come file ???.exe, dove ? rappresenta una qualsiasi lettera dell'alfabeto, a scelta dal virus. Ad esempio:

può riprodursi come file C:\Windows\Avvio\Programmi\Esecuzione automatica\Cuu.exe se eseguito su un sistema operativo di tipo Windows 95/98/Me, oppure
può riprodursi come file C:\Documents and Settings\<nome utente in uso>\Menu avvio\Programmi\Esecuzione automatica\Cti.exe se eseguito su un sistema operativo di tipo Windows NT/2000/XP.

W32.Bugbear@mm crea tre file .dll criptati all’ interno della cartella %system% e due file .dat criptati all’ interno della cartella %windir%. Uno dei file creati dal worm contiene una password necessaria per stabilire la connessione con la componente di backdoor. Un altro file .dll creato dal worm viene utilizzato per installare procedure di "aggancio" all’interno di una catena, allo scopo di controllare il sistema e registrare i messaggi inviati mediante tastiera. Le procedure di aggancio con la tastiera elaborano i messaggi e inoltrano le informazioni al successivo anello della catena di aggancio. Il file .dll installato ha una dimensione di 5.632 byte e viene rilevato dagli antivirus Symantec con il nome di PWS.Hooker.Trojan. La seguente illustrazione mostra il funzionamento di tale meccanismo:

I messaggi intercettati attraverso la tastiera possono essere password, informazioni di login, numeri di carte di credito, eccetera. Anche se le informazioni vengono crittografate e inviate attraverso un canale di comunicazione sicuro, quanto viene digitato sulla tastiera e intercettato dall’hacker è a sua disposizione.

I file che non vengono rilevati dal proprio antivirus Symantec non sono pericolosi, ma vengono utilizzati dal worm per registrare le informazioni di configurazione interna, sotto forma criptata. Eliminare manualmente anche questi file. Il worm potrebbe, ad esempio, creare i seguenti file:

%system%\Iccyoa.dll
%system%\Lgguqaa.dll
%system%\Roomuaa.dll
%windir%\Okkqsa.dat
%windir%\Ussiwa.dat

NOTE: %windir% è una variabile. Il worm individua la cartella \Windows (che per impostazione predefinita si trova sul percorso C:\Windows oppure C:\Winnt) e crea dei file su quella cartella.

Crea il seguente valore

<lettere a caso> <nome file del worm>

nella seguente chiave di registro

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

NOTA: il sistema operativo elimina di norma i valori contenuti in questa chiave, non appena i programmi a cui essi si riferiscono vengono eseguiti all’avvio. Il worm, in questo caso, ricrea il valore ogni volta, così che ad ogni avvio di Windows esso viene eseguito.

Vengono creati quattro thread principali. Il primo interrompe ogni 30 secondi i processi sotto riportati, se sono in esecuzione:

Zonealarm.exe
Wfindv32.exe
Webscanx.exe
Vsstat.exe
Vshwin32.exe
Vsecomr.exe
Vscan40.exe
Vettray.exe
Vet95.exe
Tds2-Nt.exe
Tds2-98.exe
Tca.exe
Tbscan.exe
Sweep95.exe
Sphinx.exe
Smc.exe
Serv95.exe
Scrscan.exe
Scanpm.exe
Scan95.exe
Scan32.exe
Safeweb.exe
Rescue.exe
Rav7win.exe
Rav7.exe
Persfw.exe
Pcfwallicon.exe
Pccwin98.exe
Pavw.exe
Pavsched.exe
Pavcl.exe
Padmin.exe
Outpost.exe
Nvc95.exe
Nupgrade.exe
Normist.exe
Nmain.exe
Nisum.exe
Navwnt.exe
Navw32.exe
Navnt.exe
Navlu32.exe
Navapw32.exe
N32scanw.exe
Mpftray.exe
Moolive.exe
Luall.exe
Lookout.exe
Lockdown2000.exe
Jedi.exe
Iomon98.exe
Iface.exe
Icsuppnt.exe
Icsupp95.exe
Icmon.exe
Icloadnt.exe
Icload95.exe
Ibmavsp.exe
Ibmasn.exe
Iamserv.exe
Iamapp.exe
Frw.exe
Fprot.exe
Fp-Win.exe
Findviru.exe
F-Stopw.exe
F-Prot95.exe
F-Prot.exe
F-Agnt95.exe
Espwatch.exe
Esafe.exe
Ecengine.exe
Dvp95_0.exe
Dvp95.exe
Cleaner3.exe
Cleaner.exe
Claw95cf.exe
Claw95.exe
Cfinet32.exe
Cfinet.exe
Cfiaudit.exe
Cfiadmin.exe
Blackice.exe
Blackd.exe
Avwupd32.exe
Avwin95.exe
Avsched32.exe
Avpupd.exe
Avptc32.exe
Avpm.exe
Avpdos32.exe
Avpcc.exe
Avp32.exe
Avp.exe
Avnt.exe
Avkserv.exe
Avgctrl.exe
Ave32.exe
Avconsol.exe
Autodown.exe
Apvxdwin.exe
Anti-Trojan.exe
Ackwin32.exe
_Avpm.exe
_Avpcc.exe
_Avp32.exe

Il worm rileva la versione del sistema operativo in uso e utilizza routine differenti per portare a termine il proprio attacco.

Il secondo thread distribuisce il worm su vasta scala. Legge gli indirizzi e-mail contenuti nella casella di posta in arrivo e nei file ad estensione:

.mmf
.nch
.mbx
.eml
.tbb
.dbx
.ocs

Legge le informazioni relative all’attuale indirizzo e-mail dell’utente e al suo server SMTP nella chiave di registro

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts

Utilizza quindi il proprio motore SMTP per auto-inviarsi a tutti gli indirizzi di posta elettronica trovati. E’ anche in grado di costruire indirizzi a partire dal campo "Mittente", utilizzando informazioni estratte dal computer infetto. Poniamo ad esempio che trovi gli indirizzi a@a.com, b@b.com e c@c.com. A questo punto il worm è in grado di creare un messaggio di posta elettronica indirizzato ad a@a.com, facendo credere che sia stato inviato da c@b.com. Il mittente così falsificato può anche essere un indirizzo e-mail valido trovato all’interno del sistema.

Oltre ai possibili oggetti di messaggio elencati qui di seguito, il worm è anche in grado di creare un nuovo messaggio in risposta a un messaggio esistente oppure inoltrando un messaggio esistente sul computer infetto.

Greets!
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!

W32.Bugbear@mm legge il contenuto del valore Personal nella chiave di registro

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

e compila un elenco dei file salvati su quel percorso (per impostazione predefinita il percorso è C:\Documenti, in Windows 95/98/Me, C:\WINNT\Profiles\<Nome utente>\Personalon Windows NT, e C:\Documents and Settings\<Nome utente>\Documenti, in Windows NT/2000/XP). I nome di file così rintracciati possono essere utilizzati per comporre il nome del file allegato al worm. Il nome del file, inoltre, può anche includere uno dei seguenti termini:

readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data

L’estensione per il nome del file è una delle seguenti:

.scr
.pif
.exe

Quando il worm utilizza un nome file preso dalla cartella Documenti, modifica di conseguenza il contenuto del messaggio inviato in modo tale che sia coerente con l’estensione del file scelta. Riportiamo qui di seguito l’elenco delle estensioni analizzate:

.reg
.ini
.bat
.diz
.txt
.cpp
.html
.htm
.jpeg
.jpg
.gif
.cpl
.dll
.vxd
.sys
.com
.exe
.bmp

Il contenuto del messaggio viene modificato nel modo seguente:

text/html
text/plain
application/octet-stream
image/jpeg
image/gif

Per compilare il messaggio non è strettamente necessario che il worm sfrutti la vulnerabilità Incorrect MIME Header Can Cause IE to Execute E-mail Attachment (le informazioni sono in inglese) e si replichi su un sistema infetto. Per ulteriori informazioni in merito accedere all’indirizzo http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp (le informazioni sono in inglese).

Il terzo thread creato dal worm è un backdoor: apre la porta 36794 e attende istruzioni dall’hacker. Grazie a tali istruzioni il worm è in grado di:

Eliminare file.
Interrompere processi.
Compilare un elenco di processi e inoltrarlo all’hacker.
Copiare file.
Avviare processi.
Compilare un elenco di file e inoltrarlo all’hacker.
Inviare all’hacker (sotto forma criptata) le informazioni digitate dall’utente mediante tastiera. Alcune di queste informazioni possono essere strettamente riservate, quali password, informazioni di login, eccetera).
Inviare all’hacker informazioni sul sistema, nel seguente formato:
- User: <nome utente>
- Processor: <tipo di processore utilizzato>
- Windows version: <versione di Windows, numero di build>
- Memory information: <quantità di memoria disponibile, eccetera>
- Unità locali e di che tipo (dischi rigidi/rimuovibili/dischi RAM/CD-ROM, eccetera), nonché le loro caratteristiche fisiche.
Compilare un elenco dei vari tipi di risorse di rete e inviarlo all’hacker.

Se il sistema operativo in uso è Windows 95/98/Me il worm cerca di ottenere l’accesso alla cache delle password. Le password contenute nella cache sono ad esempio le password di accesso remoto, quelle relative agli indirizzi URL, le password condivise e molte altre. Il worm può accedere a tali password grazie a una funzione non documentata ufficialmente chiamata WnetEnumCachedPasswords, che esiste solo nelle versioni per Windows95/98/Me del file Mpr.dll.

I comandi accettati dalla componente backdoor del worm richiedono una password di autenticazione seguita dal comando e dai suoi parametri, se necessari. Il comando "i", ad esempio, non richiede l’uso di alcun parametro. Quanto segue esemplifica l’uso del comando "i":

Server: '<ISCHIA>'
User: 'Ischia'
Processor: I586
Win32 on Windows 95 v4.10 build 1998
-
Memory: 127M in use: 50% Page file: 1920M free: 1878M
C:\ - Fixed Sec/Clust: 64 Byts/Sec: 512, Bytes free: 2147155968/2147155968
D:\ - CD-ROM

Network:
unknow cont (null) (Microsoft Network)
unknow cont (null) (Microsoft Family Logon)

Il comando "h" contiene invece un parametro: il numero di una porta. Tale comando fa in modo che la componente backdoor apra la porta in questione e rimanga in ascolto di eventuali istruzioni inviate sotto forma di richieste HTTP Get. Tali richieste vengono analizzate, elaborate e il risultato di tale elaborazione viene restituito sotto forma di pagine HTML formattate. In tal modo è semplice per l’hacker osservare quali sono le risorse del computer infetto. L’esempio in figura illustra come un computer di nome "Ischia" infetto sia accessibile in modalità remota:

L’hacker è in grado di caricare file da remoto sul computer infetto in questione. Se si fa clic su un file di testo ne viene mostrato il contenuto nella finestra del browser. Il browser altrimenti offre l’opzione di scaricare il file e aprirlo con un’applicazione adatta.

Il quarto thread distribuisce il worm all’interno della rete. A questo scopo il worm compila un elenco di tutte le risorse della rete; se rileva delle condivisioni amministrative aperte tenta di replicarsi nella cartella Esecuzione automatica del computer remoto. Ciò comporta il diffondersi dell’infezione fra i computer della rete non appena questi vengono riavviati.

Poiché il worm non gestisce correttamente i vari tipi di risorse di rete è possibile che ingombri le risorse della stampante, provocando stampe sbagliate o comunque compromettendo il normale funzionamento della stampante.

recommendations

Il Symantec Security Response raccomanda a tutti gli utenti informatici e amministratori di rete di attenersi alle seguenti linee guida elementari, basate sulle migliori pratiche di sicurezza.

Disattivare e rimuovere qualsiasi servizio non necessario. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono strettamente necessari al sistema stesso, quali client FTP, telnet e server Web. Tali servizi possono servire da accesso per eventuali attacchi. Se rimossi, le minacce composite dispongono di un numero inferiore di possibilità di accesso al sistema e al tempo stesso l’utente dispone di un numero inferiore di servizi da mantenere tramite moduli di aggiornamento.
Se una minaccia composita si avvale di uno o più servizi di rete è consigliabile disattivare o impedire l’accesso a tali servizi, fino a quando non venga applicato un modulo di aggiornamento.
Accertarsi di applicare sempre sul proprio sistema i moduli di aggiornamento più recenti, in particolare se si opera su macchine che mantengono servizi pubblici e cui è possibile accedere tramite firewall, quali http, FTP, posta elettronica e servizi DNS.
Imporre una politica severa sull’uso delle password. Password complesse rendono più difficoltoso l’accesso a file protetti su computer minacciati da un accesso illecito. In tal modo, anche in caso di computer attaccato illecitamente, i danni incorsi sono notevolmente limitati, se non del tutto prevenuti.
Configurare il proprio server di posta elettronica in modo che blocchi o elimini i messaggi contenenti file in allegato le cui estensioni vengono comunemente utilizzate per diffondere virus. Ad esempio: .vbs, .bat, .exe, .pif e .scr.
Isolare in tutta rapidità le macchine infette, per evitare la diffusione del danno ad altre macchine all’interno della propria organizzazione. Eseguire un’analisi approfondita e ripristinare le macchine mediante dispositivi fidati.
Operare una formazione del personale, istruendo i propri dipendenti a non aprire allegati se non si era a conoscenza del fatto che l’allegato in questione sarebbe stato inviato. Inoltre, non eseguire programmi scaricati da Internet senza prima operare una scansione antivirus. Anche semplicemente visitare un sito Internet compromesso può significare contrarre un’infezione, se non sono stati applicati moduli di aggiornamento appositi per determinate vulnerabilità del browser.

IMPORTANTE - LEGGERE ATTENTAMENTE PRIMA DI PROSEGUIRE:

Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet (come DSL o modem via cavo) è necessario scollegare la macchina dalla rete e da Internet. Prima di collegare nuovamente i computer alla rete o a Internet, disattivare la condivisione di file oppure proteggere con password o rendere accessibili in sola lettura i file condivisi. W32.Bugbear@mm si propaga tramite cartelle condivise su computer collegati in rete. Per evitare che l’infezione si diffonda nuovamente dopo essere stata rimossa è consigliabile rendere i file o le cartelle condivisi accessibili in sola lettura oppure proteggerli con password. Per istruzioni in merito consultare la propria documentazione di Windows oppure il documento Come configurare le cartelle condivise di Windows affinché la rete sia protetta al meglio.
Prima di eliminare un’infezione da un ambiente di rete accertarsi che le condivisioni di rete siano disattivate o accessibili in sola lettura.

Rimozione tramite lo Strumento di rimozione per W32.Bugbear@mm
Questa è la modalità di rimozione più semplice: il Symantec Security Response ha creato uno strumento di rimozione per W32.Bugbear@mm. Fare clic qui per scaricarlo.

Rimozione manuale
In alternativa all’utilizzo dello strumento di rimozione è anche possibile operare una rimozione manuale. I principali passaggi sono riportati qui di seguito:

NOTA: le presenti istruzioni sono valide per tutti gli antivirus Symantec, compresi i prodotti delle linee Symantec AntiVirus e Norton AntiVirus.

Aggiornare le definizioni dei virus.
Riavviare il computer in Modalità provvisoria.
Operare una scansione completa del sistema ed eliminare tutti i file rilevati con il nome di W32.Bugbear@mm.
Eliminare il valore che il worm ha aggiunto alla chiave di registro

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Proseguire nella lettura per ottenere istruzioni dettagliate su come procedere.

Come aggiornare le definizioni dei virus:

NOTA: se il worm è già attivo sul computer in uso non sarà possibile eseguire LiveUpdate. In tal caso, scaricare le definizioni mediante Intelligent Updater.

Tutte le definizioni dei virus vengono accuratamente testate e sottoposte a controlli di qualità da parte del Symantec Security Response prima di essere rese disponibili sui server. Esistono due modi per ottenere le definizioni dei virus più aggiornate:

Il metodo più semplice è tramite LiveUpdate. Le definizioni dei virus per LiveUpdate vengono pubblicate sui server di LiveUpdate una volta la settimana (normalmente di mercoledì), salvo il caso di epidemie virali di particolare rilevanza. Per verificare se esistono delle definizioni di LiveUpdate disponibili per combattere questa minaccia controllare la riga Definizioni dei virus (LiveUpdate) che si trova in cima al presente documento.
Scaricare le definizioni mediante Intelligent Updater. Le definizioni dei virus per Intelligent Updater vengono pubblicate quotidianamente, nei giorni lavorativi statunitensi (dal lunedì al venerdì). Devono essere scaricate e installate manualmente, dal sito Internet del Symantec Security Response. Per verificare se esistono delle definizioni di Intelligent Updater disponibili per combattere questa minaccia controllare la riga Definizioni dei virus (Intelligent Updater) che si trova in cima al presente documento.

Le definizioni dei virus di Intelligent Updater sono disponibili qui. Per istruzioni dettagliate su come scaricare e installare le definizioni di Intelligent Updater dal sito Internet del Symantec Security Response consultare il documento Come aggiornare i file delle definizioni dei virus mediante Intelligent Updater

Come riavviare il computer in Modalità provvisoria:
Tutti i sistemi operativi Windows a 32 bit, ad eccezione di Windows NT, possono essere riavviati in Modalità provvisoria. Per istruzioni in merito consultare il documento Come avviare il computer in modalità provvisoria.

Come operare una scansione alla ricerca di virus ed eliminare i file infetti:

Avviare il proprio antivirus Symantec e accertarsi che sia configurato in modo da sottoporre a scansione tutti i file.
- Prodotti Norton AntiVirus consumer: consultare il documento Come configurare Norton AntiVirus per effettuare una scansione di tutti i file
- Prodotti Symantec antivirus enterprise: consultare il documento (in inglese) How to verify a Symantec Corporate antivirus product is set to scan All Files.
Eseguire una scansione completa del sistema.
Se vengono rilevati file infetti da W32.Bugbear@mm prendere nota del nome dei file in questione e premere Canc.

Come rimuovere il valore dal registro:

ATTENZIONE: prima di modificare il registro Symantec raccomanda di eseguirne una copia di backup. Modifiche errate al Registro di sistema possono provocare perdite di dati e danni ai file irreversibili. Modificare unicamente le chiavi specificate. A questo proposito consultare il documento Come eseguire il backup del registro di Windows .

Fare clic su Start, quindi su Esegui. Viene visualizzata la finestra di dialogo Esegui.
Digitare regedit quindi fare clic su OK. Si apre l'Editor del Registro di sistema.
Accedere alla chiave:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Nel riquadro di destra, individuare ed eliminare la riga individuata come infetta da W32.Bugbear@mm.
Uscire dall'Editor del Registro di sistema.

Revisioni:

September 30, 2002.
- Added alias information.
- Upgraded from Category 2 to Category 3 based on increased rate of submissions.
October 1, 2002. Provided W32.Bugbear@mm removal tool.
October 2, 2002.
- Upgraded from Category 3 to Category 4 based on increased rate of submissions.
- Updated mailing information to included spoofed from addresses and subject lines pulled from existing email messages found on the infected system.

Versione del documento in inglese

Fare clic qui per visualizzare la versione inglese di questo documento

NOTA: a causa del tempo richiesto per portare a termine la traduzione di un documento in altre lingue, il contenuto delle versioni tradotte potrebbe differire da quello del documento originale in lingua inglese. Ciò si verifica quando il documento inglese viene aggiornato durante il processo di traduzione. Si prega di notare che il documento in lingua inglese contiene sempre le informazioni più aggiornate.

Documento realizzato da: Yana Liu & Serghei Sevcenco