F-Secure: Be Sure
Main
F-Secure Logo - Be Sure
Select local site


Privacy Policy
Contact Us

F-Secure VirusKuvaukset

Alphabetical Index
NAME:Bugbear
ALIAS:Tanatos, W32/Bugbear, Tanat, W32/Tanat
ALIAS:I-Worm.Tanatos, W32/Bugbear.A@mm
SIZE:50688

TÄMÄ VIRUS ON LUOKITELTU 1-TASON RADAR -HÄLYTYKSEKSI
http://www.F-Secure.com/products/radar/

PÄIVITYS (2002-10-02 13:30 GMT)

F-Secure nostaa hälytyksen korkeimmalle tasolle Bugbear/Tanatos -sähköpostimadolle, madon levitessä kasvavalla nopeudella. Tilastojen mukaan Bugbear on tämän hetken yleisin virus yhdessä Klezin kanssa.

Lisätietoja Bugbearista löydät seuraavista osoitteista:
http://www.F-Secure.fi/fin/support-page_2002100300.shtml
http://www.F-Secure.com/bugbear/

Tärkeää: Bugbear-madon lähettämissä sähköposteissa on usein väärennetty lähettäjäkenttä. Käytännössä tämä tarkoittaa sitä että jos saat Bugbearin sähköpostissa, sitä ei välttämättä lähettänyt sinulle taho joka näkyy 'From'-kentässä.

TEKNISET TIEDOT

Bugbear on Windows-pohjainen massapostimato joka leviää myös verkon kautta. Madossa on näppäimistönseurantaohjelma ja takaoviominaisuuksia. Mato löydettiin Syyskuun 30. päivä 2002. Matotiedosto on tyypiltään PE EXE (portable executable), se on 50688 tavua pitkä ja se on pakattu UPX-pakkaajalla.

Leviäminen järjestelmässä

Kun tiedosto käynnistyy, mato kopioi itsensä Windowsin järjestelmähakemistoon sattumanvaraisella nimellä (esimerkiksi JFMV.EXE) ja lisää tälle tiedostolle seuraavan avaimen rekisteriin siten, että se tullaan suorittamaan jokaisen järjestelmäkäynnistyksen yhteydessä: 

 [HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]

Mato asentaa myös näppäimistönseurantaohjelman sattumanvaraisella nimellä varustettuna DLL-tiedostona (esimerkiksi ZLQPUPP.DLL) Windowsin järjestelmäkansioon. Mato asentaa kaksi (2) muuta DLL-tiedostoa ja tallentaa salattua dataa niihin. Mato myös luo kaksi (2) sattumanvaraisesti nimettyä DAT-tiedostoa Windowsin juurihakemistoon.

Leviäminen sähköpostin kautta

Bugbear leviää sähköpostitse sattumanvaraisesti nimettynä liitetiedostona, jolla on yksi tai useampia tiedostopäätteitä. Viestin otsikkokentät ja viestin pääteksti vaihtelee. Massapostitusmenetelmä on varsin monimutkainen.

Madolla on kyky väärentää lähettäjän tiedot, jolloin lähettäjän sähköpostiosoite korvataan jollakin muulla sähköpostiosoitteella joka löytyy tartunnan saaneesta järjestelmästä.

Madon lähettämissä viesteissä on käytetty 'IFrame exploit' tietoturva-aukkoa, joka mahdollistaa madon käynnistymisen automaattisesti kun tartunnan saanut viesti avataan (esimerkiksi Outlook ja IE 5.0 tai 5.01 -ohjelmilla). Tämä tietoturva-aukko on korjattu ja siihen on saatavilla korjaustiedosto Microsoftin sivuilta osoitteessa:

http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp

Bugbear etsii sähköpostiosoitteita INBOX-hakemistosta (Netscapen saapuvien viestien tietokannasta) ja tiedostoista joilla on seuraavat tiedostopäätteet: 

 .ODS
 .MMF
 .NCH
 .MBX
 .EML
 .TBB
 .DBX

Joskus mato poimii tiedostoja tartunnan saaneen koneen sähköpostitietokannasta ja lähettää niitä eteenpäin saastuneella liitetiedostolla varustettuna. Mato osaa myöskin kopioida sattumanvaraisen kovalevyllä olleen tiedoston tekstin sähköpostiviestin tekstikenttään. Mato saattaa lähettää viestin myös seuraavilla otsikoilla varustettuna: 

 Greets!
 Get 8 FREE issues - no risk!
 Hi!
 Your News Alert
 $150 FREE Bonus!
 Re:
 Your Gift
 New bonus in your cash account
 Tools For Your Online Business
 Daily Email Reminder
 News
 free shipping!
 its easy
 Warning!
 SCAM alert!!!
 Sponsors needed
 new reading
 CALL FOR INFORMATION!
 25 merchants and rising
 Cows
 My eBay ads
 empty account
 Market Update Report
 click on this!
 fantastic
 wow!
 bad news
 Lost & Found
 New Contests
 Today Only
 Get a FREE gift!
 Membership Confirmation
 Report
 Please Help...
 Stats
 I need help about script!!!
 Interesting...
 Introduction
 various
 Announcement
 history screen
 Correction of errors
 Just a reminder
 Payment notices
 hmm..
 update
 Hello!

Välttääkseen viestin takaisin palautumista tai muita ei-toivottuja seurauksia, mato ei lähetä itseään eteenpäin osoitteisiin joissa on jokin seuraavista sanoista: 

 remove
 spam
 undisclosed
 recipients
 noreply
 lyris
 virus
 trojan
 mailer-daemon
 postmaster@
 root@
 nobody@
 localhost
 localdomain
 list
 talk
 ticket
 majordom

Bugbear voi lähettää itsensä liitteenä, jossa on kaksi tiedostopäätettä. Ensimmäinen tiedostopääte voi olla jokin seuraavista: 

 .reg
 .ini
 .bat
 .h
 .diz
 .txt
 .cpp
 .c
 .html
 .htm
 .jpeg
 .jpg
 .gif

Mato määrittää saastuneen liitetiedoston sisältötyypin yllä olevien tiedostotyyppien mukaan. Sisältötyyppi voi olla jokin seuraavista: 

 image/gif
 image/jpeg
 application/octet-stream
 text/plain
 text/html

Tiedoston jälkimmäinen tiedostopääte voi olla jokin seuraavista: 

 .scr
 .pif
 .exe

Mato kykenee myös "lainaamaan" nimen liitteelleen joltakin tiedostolta joka on saastuneella kovalevyllä. Mato lisää lainattuun tiedostonimeen suoritettavan tiedoston päätteen. Mato voi esimerkiksi lähettää itsensä eteenpäin SOPIMUS.DOC.PIF -tiedostona. Saastuneen liitetiedoston nimi saattaa sisältää jonkin seuraavista sanoista: 

 readme
 Setup
 Card
 Docs
 news
 image
 images
 pics
 resume
 photo
 video
 music
 song
 data

Leviäminen paikallisverkossa

Bugbear kykenee leviämään paikallisverkon yli. Mato käy läpi paikallisverkon tietokoneet ja pyrkii paikallistamaan \Start Menu\Programs\Startup\ -hakemiston verkossa olevissa koneissa. Jos polku löytyy, mato kopioi itsensä sattumanvaraisella nimellä. Kun saastutettu kone käynnistetään, madon luoma tiedosto käynnistyy ja järjestelmä saastuu.

Prosessien sulkeminen

Mato hakee ja sulkee järjestelmän prosesseja joilla seuraavia nimiä: 

 _AVP32.EXE
 _AVPCC.EXE
 _AVPM.EXE
 ACKWIN32.EXE
 ANTI-TROJAN.EXE
 APVXDWIN.EXE
 AUTODOWN.EXE
 AVCONSOL.EXE
 AVE32.EXE
 AVGCTRL.EXE
 AVKSERV.EXE
 AVNT.EXE
 AVP.EXE
 AVP32.EXE
 AVPCC.EXE
 AVPDOS32.EXE
 AVPM.EXE
 AVPTC32.EXE
 AVPUPD.EXE
 AVSCHED32.EXE
 AVWIN95.EXE
 AVWUPD32.EXE
 BLACKD.EXE
 BLACKICE.EXE
 CFIADMIN.EXE
 CFIAUDIT.EXE
 CFINET.EXE
 CFINET32.EXE
 CLAW95.EXE
 CLAW95CF.EXE
 CLEANER.EXE
 CLEANER3.EXE
 DVP95.EXE
 DVP95_0.EXE
 ECENGINE.EXE
 ESAFE.EXE
 ESPWATCH.EXE
 F-AGNT95.EXE
 F-PROT.EXE
 F-PROT95.EXE
 F-STOPW.EXE
 FINDVIRU.EXE
 FP-WIN.EXE
 FPROT.EXE
 FRW.EXE
 IAMAPP.EXE
 IAMSERV.EXE
 IBMASN.EXE
 IBMAVSP.EXE
 ICLOAD95.EXE
 ICLOADNT.EXE
 ICMON.EXE
 ICSUPP95.EXE
 ICSUPPNT.EXE
 IFACE.EXE
 IOMON98.EXE
 JEDI.EXE
 LOCKDOWN2000.EXE
 LOOKOUT.EXE
 LUALL.EXE
 MOOLIVE.EXE
 MPFTRAY.EXE
 N32SCANW.EXE
 NAVAPW32.EXE
 NAVLU32.EXE
 NAVNT.EXE
 NAVW32.EXE
 NAVWNT.EXE
 NISUM.EXE
 NMAIN.EXE
 NORMIST.EXE
 NUPGRADE.EXE
 NVC95.EXE
 OUTPOST.EXE
 PADMIN.EXE
 PAVCL.EXE
 PAVSCHED.EXE
 PAVW.EXE
 PCCWIN98.EXE
 PCFWALLICON.EXE
 PERSFW.EXE
 RAV7.EXE
 RAV7WIN.EXE
 RESCUE.EXE
 SAFEWEB.EXE
 SCAN32.EXE
 SCAN95.EXE
 SCANPM.EXE
 SCRSCAN.EXE
 SERV95.EXE
 SMC.EXE
 SPHINX.EXE
 SWEEP95.EXE
 TBSCAN.EXE
 TCA.EXE
 TDS2-98.EXE
 TDS2-NT.EXE
 VET95.EXE
 VETTRAY.EXE
 VSCAN40.EXE
 VSECOMR.EXE
 VSHWIN32.EXE
 VSSTAT.EXE
 WEBSCANX.EXE
 WFINDV32.EXE
 ZONEALARM.EXE

Mato käyttää erilaisia menetelmiä prosessien sulkemiseen Windows 9x- ja NT-järjestelmissä. Suurimmassa osassa tapauksia mato onnistuu sulkemaan tietoturva- ja anti-virus -ohjelmat, jotka eivät havaitse matoa siinä vaiheessa kun se ensimmäistä kertaa leviää järjestelmään.

Takaovi

Bugbear kuuntelee porttia 36794 ja sallii liikenteen saastuneelle koneelle ja sen kautta koneen takana olevaan järjestelmään. Bugbearin avulla hyökkääjä voi käyttää saastutettua verkkoa HTML-käyttöliittymän kautta. Mato luo HTML-sivuja lennosta samalla kun hyökkääjä selailee saastuneen etäkoneen hakemistoja.

Käyttöliittymä käyttää useita erilaisia kuvakkeita kuvaamaan erityyppisiä etäasemia ja tiedostoja. Käyttöliittymän kautta voi myös selata jaettuja resursseja joihin saastuneella koneella on käyttöoikeus. Mato käyttää kuvakkeita myös erottelemaan verkkoresursseja.

Bugbearin avulla hyökkääjä voi saada seuraavia tietoja saastuneesta järjestelmästä: käyttöjärjestelmä, prosessorityyppi, kiinteät levyasemat ja verkkolevyt.

Näppäimistönseurantaohjelma

Bugbearilla on kyky varastaa salasanoja. Mato asentaa näppäimistönseurantaohjelman järjestelmään, ohjelmalla mato tallentaa näppäimistöllä kirjoitetun informaation tiedostoksi. Tiedosto lähetetään tämän jälkeen muutamaan sähköpostiosoitteeseen, jotka ovat salattuna madon koodissa. Käytettyjen SMTP-palvelinten nimet ovat myös tallennettuina salattuina madon koodissa.

Sivuvaikutukset

Saatujen tietojen mukaan verkkoon kytketyt tulostimet tulostavat roskatekstiä, kun mato pääsee leviämään verkkoon. Tämä voi olla madon leviämisestä syntyvä sivuvaikutus .

Poisto-ohjeita

Bugbearin poistamiseksi järjestelmästä riittää kaikkien saastuneiden tiedostojen hävittäminen ja järjestelmän uudelleenkäynnistäminen. Jos mato on päässyt verkkoympäristöön, tulisi koko verkko ajaa alas hetkeksi ja kaikki koneet tulisi puhdistaa erikseen. Muuten mato voi päästä leviämään jo puhdistettuihin järjestelmiin.

Puhdistuksen jälkeen tulisi myös muuttaa kaikki salasanat, koska salasanat ovat jo voineet päätyä näppäimistönseurantaohjelman kautta väriin käsiin. On myös suositeltavaa tarkistaa saastuneet koneet mahdollisten takaovien kautta suoritettujen murtojen varalta.

Lisätietoja poistamisesta löytyy suomenkielisiltä tukisivuiltamme:

http://www.f-secure.fi/fin/support-page_2002100300.shtml

Puhdistustyökalu

F-Securella on erillinen puhdistustyökalu Bugbear-matoa varten. Työkalu ja poisto-ohjeet ovat saatavilla ftp-osoitteesta:

ftp://ftp.f-secure.com/anti-virus/tools/f-bugbr.zip

F-Secure Anti-Virus tunnistaa Bugbear/Tanatos -madon Syyskuun 30. päivä 2002 julkaistujen viruskuvauspäivitysten avulla:

[FSAV_Database_Version]

Version=2002-10-01_02


Lokakuussa 2002 on jdbgmgr.exe -hoaxista tavattu muunnos, joka väittää että jdbgmgr.exe tiedosto liittyy Bugbear -matoon. Näin ei kuitenkaan ole, jdbgmgr.exe -tiedoston olemassaolo ei merkitse sitä, että tietokone olisi saastunut. Lisätietoja jdbgmgr -hoaxista on saatavilla osoitteesta http://www.f-secure.com/hoaxit/jdbgmgr.shtml .

[Analyysin tekivät: A. Podrezov, G. Erdelyi; K. Tocheva and S. Rautiainen, F-Secure Corp.; September 30th - October 2nd, 2002]