Vi ricordate di BugBear, il pericoloso virus che per mesi è stato in testa alle classifiche virus di tutti i principali produttori di software antivirus?
E’ arrivata in questi giorni la variante “B” dello stesso virus e si è già diffusa a macchia d’olio in Italia ed in tutto il mondo.
Desideriamo porre l’accento sul nuovo BugBear.B proprio perché, a testimonianza della sua già ampia diffusione, abbiamo già ricevuto – nella nostra casella di posta elettronica – centinaia di e-mail infette.
Anche BugBear.B è un mass mailing worm con caratteristiche di polimorfismo. Il worm è costituito da un file PE (Portable Executable) a 32 bit compresso con UPX e cifrato in modo tale che ogni generazione del worm apparirà diversa dalla precedente.
Il worm si diffonde come allegato infetto a dei messaggi di posta elettronica. In alcuni casi il worm sfrutta una nota vulnerabilità di Internet Explorer allo scopo di essere eseguito in automatico all’apertura del messaggio. (ved. Incorrect MIME Header Can Cause IE to Execute E-mail Attachment). Si tratta di una vulnerabilità ben conosciuta che risale addirittura all’anno 2001: l’ampia diffusione del virus dimostra comunque come non sia diffusa l’abitudine di applicare le patch risolutive che vengono periodicamente rilasciate (invitiamo – chi non l’avesse già fatto – ad installare prima possibile la patch cumulativa di Giugno 2003 per la vostra versione di Internet Explorer).
Per diffondersi, il worm sfrutta un proprio motore SMTP (Simple Mail Transfer Protocol). Gli indirizzi e-mail ai quali spedire delle copie infette di se stesso vengono reperiti effettuando una scansione all’interno di file aventi le seguenti estensioni/nomi: .ODS, .MMF, .NCH, .MBX, .EML, .TBB, .DBX, INBOX.
Il worm invia se stesso a tutti gli indirizzi trovati, con l’eccezione di quelli che contengono delle parole specifiche. L’oggetto delle e-mail infette viene costruito usando nomi di file scelti in modo casuale sul computer infetto oppure selezionandoli da una lista predefinita. Il nome dell’allegato infetto può contenere una delle seguenti stringhe: readme, Setup, Card, Docs. news, image, images, pics, resume, photo, video, music, song, data.
Anche in questo caso il worm può usare il nome di un file presente sul computer infetto. L’estensione dell’allegato è scelta tra exe, scr e pif. Nell’eventualità in cui il worm usi il nome di un file presente sul computer infetto, l’allegato può avere una doppia estensione, ad esempio SHEET.XLS.SCR.
Il worm si diffonde anche in rete locale. Enumera le condivisioni di rete e tenta di infettare alcuni file eseguibili appartenenti ad applicazioni molte diffuse (WinZip, ICQ, Kazaa, WinAmp, AIM, Trillian, Ad-Aware, ZoneAlarm, MSN Messenger, Acrobat Reader, Internet Explorer, Notepad, Registry Editor, Scandisk, Media Player,…).
Il worm tenta anche di localizzare la cartella di Avvio sul computer infetto, dove creerà una copia di se stesso con nome casuale ed estensione .EXE. In questo modo i computer remoti verranno infettati al prossimo avvio del sistema operativo. Il worm effettua un controllo ogni venti secondi con lo scopo di disattivare tutti i principali antivirus, firewall ed utility anti-trojan.
Il worm sembra anche essere in grado di funzionare come un keylogger, cioè un programma che intercetta i tasti premuti dall’utente. A tale scopo, il worm impiega una specifica libreria dinamica (file DLL).
Per rilevare l’eventuale presenza di BugBear.B sui vostri sistemi vi consigliamo l’utility di rimozione specifica (BRBCLEAN) sviluppata da Paolo Monti. Questa utilità consente di eliminare BugBear.B dai vostri computer.
L’utilità per la rimozione del virus worm BugBear.B è scaricabile gratuitamente da qui (300 KB circa; estraete il contenuto del file BRBCLEAN.ZIP ed eseguite il file BRBCLEAN.EXE).
Per maggiori informazioni: www.nod32.it