RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

Alerta do CAIS ALR-06062003

Propagação do worm W32.BugBear.B

[CAIS, 06.06.2003, revisão 01]


O CAIS tem detectado, desde a manhã de 05/06/2003, um aumento significativo nas atividades de uma nova variante do vírus BugBear, conhecido como W32.BugBear.B.

O W32.BugBear.B é vírus do tipo worm que contém as mesmas funcionalidades de seu antecessor, mais algumas capacidades de infecção de arquivos e criação de backdoor. Em uma análise feita pelo CAIS, foi possível identificar as seguintes funcionalidades do vírus:

  • Transmissão através de anexo em e-mail. O vírus se utiliza de um bug no Microsoft Internet Explorer para tentar se executar automaticamente quando a vítima visualiza o e-mail. Caso o bug esteja corrigido, o anexo deve ser executado para o vírus infectar a máquina. Repare que no primeiro caso, a infecção pode ocorrer sem sequer o arquivo ter sido executado pelo usuário.

    O nome do anexo pode ser formado por uma lista de nomes pré-definidos, mais qualquer uma das extensões .EXE, .PIF ou .SCR. Ex: photo.exe ou readme.scr.

  • Após a infecção, o vírus se copia automaticamente para o diretório de inicialização do Windows. Este diretório pode ser "C:\Windows\All Users\Start Menu\Programs\StartUp", ou então "C:\Documents and Settings\All Users\Start Menu\Programs\Startup", dependendo de sua versão do Windows. O nome do arquivo é composto de 4 letras aleatórias, mais a extensão .EXE.

  • Transmissão através de compartilhamentos do Windows. O vírus tenta identificar na rede, máquinas com o compartilhamento aberto (sem senha), e se copia para os diretórios de inicialização do Windows das máquinas remotas.

  • Coleta de todos os endereços de e-mails armazenados no computador da vítima. Todos os e-mails armazenados no "Address Book" do Outlook, ou em arquivos de cookies, arquivos temporários do Internet Explorer, arquivos texto ou com as seguintes extensões: .ODS, INBOX, .MMF, .NCH, .MBX, .EML, .TBB, .DBX. O vírus tenta então descobrir no registro do Windows as configurações de servidor de e-mail SMTP, e começa a enviar mensagens infectadas para todos os endereços encontrados. O subject e o texto da mensagem contêm fragmentos de e-mails e textos encontrados no computador da própria vítima, por isso os e-mails "parecem" bastante reais.

  • O vírus tenta desativar uma série de programas de antivirus e firewall pessoais instalados.

  • Diferente da versão original do vírus, esta variante também tenta infectar uma série de programas bastante utilizados, tais como Kazaa, Winamp, Media Player, Real Audio Player, Internet Explorer, Notepad, ICQ, Winzip, entre outros.

  • Um "keylogger" é executado junto com o vírus. O keylogger é um programa que captura todas as teclas digitadas pelo usuário, e armazena em um arquivo criptografado. Assim, o vírus consegue capturar senhas de banco, cartões de crédito e informações digitadas pelo usuário. O keylogger é instalado no diretório SYSTEM ou SYSTEM32 do Windows. O nome do arquivo é composto de 7 letras aleatórias, com extensão .DLL. Dois outros arquivos .DLL, com nomes de 7 letras aleatórias, são criados no mesmo diretório.

  • O vírus abre um backdoor na porta 1080 da máquina infectada. Este backdoor permite que um atacante entre posteriormente na máquina e tenha controle sobre a mesma.

Como remover o vírus?

A remoção do vírus pode ser feita com versões atualizadas de antivirus.

Para remoção completa dos arquivos do vírus, lembre-se de iniciar o computador em "safe-mode". Basta reiniciar o computador, e logo após a mensagem de boot, pressionar a tecla F8.

Se o sistema operacional utilizado pelo usuario é o Windows ME ou Windows XP, será necessário desativar a opção de "System Restore". Veja a URL abaixo para saber como proceder:

http://vil.nai.com/vil/SystemHelpDocs/DisableSysRestore.htm

Caso o vírus tenha infectado arquivos de aplicações, talvez seja necessário reinstalar os mesmos. Isto porque existe a possibilidade do antivirus não poder prosseguir com a desinfecção, e neste caso, tais arquivos serão completamente removidos. Sendo assim, como medida preventiva, o CAIS sugere que se mantenha uma lista de tudo que o antivirus remover, para proceder com a reinstalação após a desinfecção.

Maiores informações sobre W32.BugBear.B podem ser encontradas nas URLs abaixo:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_BUGBEAR.B
http://www.symantec.com/avcenter/venc/data/w32.bugbear.b@mm.html
http://securecomputing.stanford.edu/alerts/bugbear.html
http://www.messagelabs.com/viruseye/info/default.asp?virusname=W32/BugBear.B-mm

Baseado nestas informações, o CAIS recomenda fortemente a todos os usuários que mantenham seus antivírus sempre atualizados, com freqüência diária ou de forma automática, e não abram anexos de qualquer espécie sem antes analisá-lo com um antivirus, e mesmo assim se certificar da autenticidade do endereço de origem do e-mail.



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303