发现: 2003 年 6 月 4 日
更新: 2007 年 2 月 13 日 12:07:12 PM
别名: Win32.Bugbear.B [Computer Asso, W32/Bugbear.b@MM [McAfee], PE_BUGBEAR.B [Trend], W32/Bugbear-B [Sophos], I-Worm.Tanatos.b [Kaspersky], W32/Bugbear.B [Panda], Win32/Bugbear.B@mm [RAV]
类型: Worm, Virus
感染长度: 72,192 bytes
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 参考: CVE-2001-0154
W32.Bugbear.B@mm 蠕虫是
* W32.Bugbear@mm 的一个变形。
* 群发邮件蠕虫,通过文件共享网络进行传播
* 多形,还能感染特定清单上的可执行文件
* 包含键盘记录和预留后门能力
* 试图中断各种处于活动状态的防病毒或防火墙程序
当阅读或预览感染的邮件时,蠕虫会利用 不正确的的 MIMIE 表头可能导致 IE 执行电子邮件附件(英文) 的弱点在未使用修补承序的系统上自动执行蠕虫。
此外,蠕虫所含例程会特别影响到到金融机构。该功能使得蠕虫能够将机密数据传送到十个电子邮箱的其中之一。这些数据包括缓存中的密码和键盘检视数据。
由于蠕虫未能正确处理网络资源类型,它会在共享打印机上泛滥,导致输出乱码或影响正常的打印工作。
由于提交率的增加,Symantec 安全响应中心将此威胁级别从 4 类降为 3 类。
注意:如果你根据防毒程序不工作判断了计算机已感染 W32.Bugbear.B@mm,请使用赛门铁克网络安全诊断在线扫描您的计算机。
赛门铁克安全响应已经开发出了针对 W32.Bugbear.B@mm 的杀毒工具。使用该工具是清除病毒的最简便方法。
防护
* 病毒定义(每周 LiveUpdate™) 2003 年 6 月 5 日
* 病毒定义(智能更新程序) 2003 年 6 月 5 日
威胁评估
广度
* 广度级别: Low
* 感染数量: More than 1000
* 站点数量: More than 10
* 地理位置分布: Medium
* 威胁抑制: Easy
* 清除: Moderate
损坏
* 损坏级别: Medium
* 大规模发送电子邮件: Sends itself to the email addresses harvested from the current Inbox, as well as in the files with the following extensions: .mmf, .nch, .mbx, .eml, .tbb, .dbx, .ocs.
* 泄露机密信息: Logs keystrokes.
* 危及安全设置: May allow unauthorized access to compromised machines. Attempts to terminate the processes of various antivirus and firewall programs.
分发
* 分发级别: High
* 电子邮件的主题: Varies
* 附件名称: Varies, with double extension ending in .exe, .scr, or .pif.
* 附件大小: 72,192 bytes
* 端口: 1080
* 共享驱动器: Copies itself to accessible shares.
* 感染目标: Infects a specific list of PE files.
当 W32.Bugbear@mm 执行时,它会将自己复制到 \Startup 文件夹的 ???.exe。? 代表蠕虫选择的字母。
例如,蠕虫会将自己复制为:
* 在Windows 95/98/Me下,C:\Windows\Start Menu\Programs\Startup\Cuu.exe
* 在Windows NT/2000/XP 下,C:\Documents and Settings\<current user name>\Start Menu\Programs\Startup\Cti.exe
群发邮件例程
它会在当前的信箱和文件中找寻具有下列扩展名的 email 地址:
1. Searches for the email addresses in the current Inbox, as well as in the files with the following extensions:
* .mmf
* .nch
* .mbx
* .eml
* .tbb
* .dbx
* .ocs
2. 蠕虫会从下列注册表键中获得计算机用户的 SMTP 服务器和电子邮件地址:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts
3. 接着,蠕虫使用自己的 SMTP 引擎将自身发送到所有找到的电子邮件地址,并在寄件者栏位加以伪装。
蠕虫会回复、转发受感染电脑上现有的邮件,或是建立具有下列 主题的新信息。
* Hello!
* update
* hmm..
* Payment notices
* Just a reminder
* Correction of errors
* history screen
* Announcement
* various
* Introduction
* Interesting...
* I need help about script!!!
* Stats
* Please Help...
* Report
* Membership Confirmation
* Get a FREE gift!
* Today Only
* New Contests
* Lost & Found
* bad news
* wow!
* fantastic
* click on this!
* Market Update Report
* empty account
* My eBay ads
* Cows
* 25 merchants and rising
* CALL FOR INFORMATION!
* new reading
* Sponsors needed
* SCAM alert!!!
* Warning!
* its easy
* free shipping!
* News
* Daily Email Reminder
* Tools For Your Online Business
* New bonus in your cash account
* Your Gift
* Re:
* $150 FREE Bonus!
* Your News Alert
* Hi!
* Get 8 FREE issues - no risk!
* Greets!
至于附件名,蠕虫会利用 My Document 文件夹下具有下列任一扩展名的文件的名字:
* .reg
* .ini
* .bat
* .diz
* .txt
* .cpp
* .html
* .htm
* .jpeg
* .jpg
* .gif
* .cpl
* .dll
* .vxd
* .sys
* .com
* .exe
* .bmp
然后附件会被附以下面的扩展名:
* .scr
* .pif
* .exe
此外,文件名还会含有下列字串之一::
* readme
* Setup
* Card
* Docs
* news
* image
* images
* pics
* resume
* photo
* video
* music
* song
* data
信息的内容类型与文件类型相符,会是下列之一:
* text/html
* text/plain
* application/octet-stream
* image/jpeg
* image/gif
最后,蠕虫会利用 不正确的的 MIMIE 表头可能导致 IE 执行电子邮件附件(英文) 的弱点在未使用修补承序的系统上自动执行。
本地机和网络文件感染
蠕虫同时会感染本地计算机和网络共用文件夹符合下列文件名的文件。它会直接将自身附加上去,且形态变化多端。
* scandskw.exe
* regedit.exe
* mplayer.exe
* hh.exe
* notepad.exe
* winhelp.exe
* Internet Explorer\iexplore.exe
* adobe\acrobat 5.0\reader\acrord32.exe
* WinRAR\WinRAR.exe
* Windows Media Player\mplayer2.exe
* Real\RealPlayer\realplay.exe
* Outlook Express\msimn.exe
* Far\Far.exe
* CuteFTP\cutftp32.exe
* Adobe\Acrobat 4.0\Reader\AcroRd32.exe
* ACDSee32\ACDSee32.exe
* MSN Messenger\msnmsgr.exe
* WS_FTP\WS_FTP95.exe
* QuickTime\QuickTimePlayer.exe
* StreamCast\Morpheus\Morpheus.exe
* Zone Labs\ZoneAlarm\ZoneAlarm.exe
* Trillian\Trillian.exe
* Lavasoft\Ad-aware 6\Ad-aware.exe
* AIM95\aim.exe
* Winamp\winamp.exe
* DAP\DAP.exe
* ICQ\Icq.exe
* kazaa\kazaa.exe
* winzip\winzip32.exe
网络共用文件夹感染
蠕虫会列举所有的网络共享文件夹和计算机并将自身复制到其中。此外,它会试图将自身复制到远端系统的 Windows Startup 文件夹。
不管是计算机还使打印机,通通是它侵害的对象。因此,不可避免的它会尝试将自己列出共享打印机的任务列表中。
键盘检视程序
蠕虫会在 Windows System 文件夹中放置一个随机命名的 .DLL 键盘记录程序文件。该文件大小为 5,632 字节,已侦测为 PWS.Hooker.Trojan。蠕虫会在 Windows 与 Windows System 资料夹中建立其它的加密文件,这些文件都有随机选取的文件名和 .DLL 或 .DAT 的扩展名。这些文件会储存设置信息和键盘记录程序记下的输入。
这些文件夹对系统无害,可以放心删除。
键盘记录文件每隔两小时,或在文件大于 25000 字节时被发往下列邮箱:
* WXUudeba@mail.com.fr
* bernhardca@111.com
* glucarini@email.it
* sohailam@brain.com.pk
* tiharco@mail.gr
* tjtoll@arabia.com
* lilmoore2@lycos.com
* oktemh@excite.com
* tdawn@hawaiicity.com
* raytje167@freemail.nl
* ernstdor@online.ie
* mbednar@emailpinoy.com
* marko.aid.001@mail.ee
* ellekot@freemail.lt
* bleon@personal.ro
* jackk@biwemail.com
* newhot@mail.az
* ioterj@katamail.com
* ektsr@ureach.com
* wejzc@student.be
* rfewr@afreeinternet.com
* wqsgh@asheville.com
* john3784@catholic.org
* iyut@dcemail.com
* asgsa@thedoghousemail.com
发送键盘记录文件时,蠕虫首先通过注册键关闭自动拨接以避免在断线时拨号引起怀疑。蠕虫会在文件发送完成后还原原来的设定。
银行域名
W32.Bugbear.B@mm 有特别针对金融机构设计的功能。蠕虫的银行域名名单含有全世界范围的银行域名不下一千。
如果 W32.Bugbear.B@mm 确认本地系统的默认电子邮箱属于某个银行,除了发送键盘记录文件外,蠕虫还会把缓存中的拨号网络密码寄给作者。
上述资料每隔两小时、或在键盘记录文件大于 25000 字节时被发往下列邮箱:
* ifrbr@canada.com
* sdorad@juno.com
* fbnfgh@email.ro
* eruir@hotpop.com
* ersdes@truthmail.com
* eofb2@blazemail.com
* ioter5@yook.de
* iuery@myrealbox.com
* jkfhw@wildemail.com
* ds2iahf@kukamail.com
程序终止
蠕虫会尝试终止下列程序:
* ZONEALARM.EXE
* WFINDV32.EXE
* WEBSCANX.EXE
* VSSTAT.EXE
* VSHWIN32.EXE
* VSECOMR.EXE
* VSCAN40.EXE
* VETTRAY.EXE
* VET95.EXE
* TDS2-NT.EXE
* TDS2-98.EXE
* TCA.EXE
* TBSCAN.EXE
* SWEEP95.EXE
* SPHINX.EXE
* SMC.EXE
* SERV95.EXE
* SCRSCAN.EXE
* SCANPM.EXE
* SCAN95.EXE
* SCAN32.EXE
* SAFEWEB.EXE
* RESCUE.EXE
* RAV7WIN.EXE
* RAV7.EXE
* PERSFW.EXE
* PCFWALLICON.EXE
* PCCWIN98.EXE
* PAVW.EXE
* PAVSCHED.EXE
* PAVCL.EXE
* PADMIN.EOUTPOST.EXE
* NVC95.EXE
* NUPGRADE.EXE
* NORMIST.EXE
* NMAIN.EXE
* NISUM.EXE
* NAVWNT.EXE
* NAVW32.EXE
* NAVNT.EXE
* NAVLU32.EXE
* NAVAPW32.EXE
* N32SCANW.EXE
* MPFTRAY.EXE
* MOOLIVE.EXE
* LUALL.EXE
* LOOKOUT.EXE
* LOCKDOWN2000.EXE
* JEDI.EXE
* IOMON98.EXE
* IFACE.EXE
* ICSUPPNT.EXE
* ICSUPP95.EXE
* ICMON.EXE
* ICLOADNT.EXE
* ICLOAD95.EXE
* IBMAVSP.EXE
* IBMASN.EXE
* IAMSERV.EXE
* IAMAPP.EXE
* FRW.EXE
* FPROT.EXE
* FP-WIN.EXE
* FINDVIRU.EXE
* F-STOPW.EXE
* F-PROT95.EXE
* F-PROT.EXE
* F-AGNT95.EXE
* ESPWATCH.EXE
* ESAFE.EXE
* ECENGINE.EXE
* DVP95_0.EXE
* DVP95.EXE
* CLEANER3.EXE
* CLEANER.EXE
* CLAW95CF.EXE
* CLAW95.EXE
* CFINET32.EXE
* CFINET.EXE
* CFIAUDIT.EXE
* CFIADMIN.EXE
* BLACKICE.EXE
* BLACKD.EXE
* AVWUPD32.EXE
* AVWIN95.EXE
* AVSCHED32.EXE
* AVPUPD.EXE
* AVPTC32.EXE
* AVPM.EXE
* AVPDOS32.EXE
* AVPCC.EXE
* AVP32.EXE
* AVP.EXE
* AVNT.EXE
* AVKSERV.EXE
* AVGCTRL.EXE
* AVE32.EXE
* AVCONSOL.EXE
* AUTODOWN.EXE
* APVXDWIN.EXE
* ANTI-TROJAN.EXE
* ACKWIN32.EXE
* _AVPM.EXE
* _AVPCC.EXE
* _AVP32.EXE
后门例程
蠕虫同时会在埠 1080 开启一个监听埠,方便骇客连接到此埠以便执行下列操作:
* 删除文件。
* 结束程序。
* 列出程序并将清单传送给骇客。
* 列出文件并将清单传送给骇客。
* 复制文件。
* 开启程序。
* 将拦截到的键盘输入字符传给骇客 (以加密方式)。如此,输入计算机的资料有泄漏的可能 (密码、登录资料等)。
* 将系统信息以下列方式传送给骇客:
o 使用者:<使用者名字>
o 处理器:<使用的处理器类型>
o Windows 版本:<Windows 版本、build 号>
o 内存信息:<可用的内存等>
o 本机硬盘及类型 (例如固定式/可移除/RAM 硬盘/CD-ROM/远端装置) 以及某些个体特征。
* 列出网络资源和类型,并将其传给骇客。
Symantec Gateway Security
赛门铁克在 2003 年 6 月 6 日通过 LiveUpdate 发布了 Symantec Gateway Security 更新。
Intruder Alert
赛门铁克已经为 NetProwler 3.5x 2003 年 6 月 5 日发布了 Intruder Alert 3.5/3.6 policy,如需详细信息,请单击这里。
Netprowler
赛门铁克在 2003 年 6 月 5 日发布了 NetProwler 3.5.1 的 Security Update 26,可以侦测到 W32.Bugbear.B@mm。如需详细信息,请单击这里。
Symantec ManHunt
要明确侦测到 W32.Bugbear.B@mm,赛门铁克建议 Symantec ManHunt 用户打开 HYBRID MODE 功能并使用下列定制规则。
注意:每个签名都在一行上,下面签名中的断行是为了 Web 排版的需要。
*******************start file********************
alert tcp any any -> any 25 (msg:"BugBear B SMTP Worm Propagation"; content:"CwEGAAAgAQAAEAAAAOAGACABCAAA8AYAABAIAAAAQAAAEAAAAAIAAAQAAAAA";)
alert tcp any any -> any 139 (msg:"BugBear B Network Worm Propagation"; content:"|0B010600002001000010000000E006002001080000F006000010080000004000001000000002
000004000000000000000400000000000000002008000010000000000000020000000000100000100000
000010000010000000000000100000000000000000000000001008006401000000000000000000000000
0000000000000000000000000000641108000C|"; content:"|555058300000000000E0060000100000|";)
*************EOF*********************
这些签名将在蠕虫通过网路和 SMTP 传播时被触发。更多关于如何创建自订签名的信息,请参阅 "Symantec ManHunt Administrative Guide: Appendix A Custom Signatures for HYBRID Mode."
此外,Symantec ManHunt Protocol Anomaly 现在将 W32.Bugbear.B@mm 的后门程序活动侦测为 "SOCKS Malformed Data"。如需将此后门程序活动侦测为W32.Bugbear.B@mm,请使用下列定制规则:
*******************start file********************
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|p"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|e"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|f"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|s"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|c"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|o"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|k"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|d"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|r"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|h"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|i"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|z"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|y"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|t"; offset: 20; depth: 2; dsize:>21; )
*************EOF*********************
建议
赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。
* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。
* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。
使用 W32.Bugbear.B@mm 杀毒工具
使用杀毒工具是移除病毒的最简便方法。赛门铁克安全响应已经开发出了针对 W32.Bugbear.B@mm 的杀毒工具。
手动杀毒
手动杀毒是使用工具移除病毒的替代方法。
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
1. 关闭系统还原 (Windows Me/XP)。
2. 更新病毒定义。
3. 将计算机重启到安全模式 (Windows 95/98/Me/2000/XP) 或 VGA 模式 (Windows NT).
4. 执行完整的系统扫描,删除所有探测到的 W32.Bugbear.B@mm文件。
有关如何完成此操作的详细信息,请参阅下列指导。
1. 关闭系统还原(Windows Me 或 XP)
如果使用的是 Windows Me 或 Windows XP, 建议您暂时关闭系统还原。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果一个病毒、蠕虫或特洛伊木马感染了计算机,系统还原也会备份病毒、蠕虫或特洛伊木马。
Windows 不允许包括 防病毒程序在内的外部程序对系统还原进行修改。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其它位置的受感染文件。
并且,即使病毒已经移除,病毒扫描也会侦测到系统还原文件夹中的病毒。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
* 如何禁用或启用 Windows XP 系统还原
* 如何禁用或启用 Windows Me 系统还原
更多信息请参照 Microsoft 知识库文章 "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," 文章 ID: Q263455.
2. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
* 运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
* 使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 将计算机重启到安全模式或 VGA 模式
o Windows 95/98/Me/200/XP 用户 可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
o Windows NT 4 用户请重启计算机到 VGA 模式。
4. 确保断开网络连接
如果您的计算机在网络中,或者是与 Internet 保持连接,请先中断与网络及/或与 Internet 的连接。 在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享,或将文件设为只读。有关如何完成此操作的指导,请参阅 Windows 文档或文档:如何配置共享 Windows 文件夹以尽可能地保护网络。
5. 扫描并删除受感染的文件
1. 启动 Symantec 防病毒程序,并确保将其配置为扫描所有文件。
* Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
* 赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
2. 对系统进行完整扫描。
3. 如果存在经检测感染了 W32.Bugbear.B@mm 的文件,请单击“删除”。
描述者: Eric Chien
编辑/发表时间:2009-05-30 10:27