基本信息
* 群發郵件蠕蟲,通過檔案共享網路進行傳播
* 多形,還能感染特定清單上的執行檔
* 包含鍵盤記錄和預留後門能力
* 試圖中斷各種處於活動狀態的防病毒或防火牆程式
當閱讀或預覽感染的郵件時,蠕蟲會利用 不正確的的 MIMIE 表頭可能導致 IE 執行電子郵件附屬檔案(英文) 的弱點在未使用修補承序的系統上自動執行蠕蟲。
此外,蠕蟲所含例程會特別影響到到金融機構。該功能使得蠕蟲能夠將機密數據傳送到十個電子信箱的其中之一。這些數據包括快取中的密碼和鍵盤檢視數據。
由於蠕蟲未能正確處理網路資源類型,它會在共享印表機上泛濫,導致輸出亂碼或影響正常的列印工作。
由於提交率的增加,Symantec 安全回響中心將此威脅級別從 4 類降為 3 類。
注意:如果你根據防毒程式不工作判斷了計算機已感染 W32.Bugbear.B@mm,請使用賽門鐵克網路安全診斷線上掃描您的計算機。
賽門鐵克安全回響已經開發出了針對 W32.Bugbear.B@mm 的防毒工具。使用該工具是清除病毒的最簡便方法。
防護
* 病毒定義(每周 LiveUpdate™) 2003 年 6 月 5 日
* 病毒定義(智慧型更新程式) 2003 年 6 月 5 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Easy
* 清除: Moderate
損壞
* 損壞級別: Medium
* 大規模傳送電子郵件: Sends itself to the email addresses harvested from the current Inbox, as well as in the files with the following extensions: .mmf, .nch, .mbx, .eml, .tbb, .dbx, .ocs.
* 泄露機密信息: Logs keystrokes.
* 危及安全設定: May allow unauthorized access to compromised machines. Attempts to terminate the processes of various antivirus and firewall programs.
分發
* 分發級別: High
* 電子郵件的主題: Varies
* 附屬檔案名稱: Varies, with double extension ending in .exe, .scr, or .pif.
* 附屬檔案大小: 72,192 bytes
* 連線埠: 1080
* 共享驅動器: Copies itself to accessible shares.
* 感染目標: Infects a specific list of PE files.
當 W32.Bugbear@mm 執行時,它會將自己複製到 \Startup 資料夾的 ???.exe。? 代表蠕蟲選擇的字母。
例如,蠕蟲會將自己複製為:
* 在Windows 95/98/Me下,C:\Windows\Start Menu\Programs\Startup\Cuu.exe
* 在Windows NT/2000/XP 下,C:\Documents and Settings\<current user name>\Start Menu\Programs\Startup\Cti.exe
群發郵件例程
它會在當前的信箱和檔案中找尋具有下列擴展名的 email 地址:
1. Searches for the email addresses in the current Inbox, as well as in the files with the following extensions:
* .mmf
* .nch
* .mbx
* .eml
* .tbb
* .dbx
* .ocs
2. 蠕蟲會從下列註冊表鍵中獲得計算機用戶的 SMTP 伺服器和電子郵件地址:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts
3. 接著,蠕蟲使用自己的 SMTP 引擎將自身傳送到所有找到的電子郵件地址,並在寄件者欄位加以偽裝。
蠕蟲會回復、轉發受感染電腦上現有的郵件,或是建立具有下列 主題的新信息。
* Hello!
* update
* hmm..
* Payment notices
* Just a reminder
* Correction of errors
* history screen
* Announcement
* various
* Introduction
* Interesting...
* I need help about script!!!
* Stats
* Please Help...
* Report
* Membership Confirmation
* Get a FREE gift!
* Today Only
* New Contests
* Lost & Found
* bad news
* wow!
* fantastic
* click on this!
* Market Update Report
* empty account
* My eBay ads
* Cows
* 25 merchants and rising
* CALL FOR INFORMATION!
* new reading
* Sponsors needed
* SCAM alert!!!
* Warning!
* its easy
* free shipping!
* News
* Daily Email Reminder
* Tools For Your Online Business
* New bonus in your cash account
* Your Gift
* Re:
* $150 FREE Bonus!
* Your News Alert
* Hi!
* Get 8 FREE issues - no risk!
* Greets!
至於附屬檔案名,蠕蟲會利用 My Document 資料夾下具有下列任一擴展名的檔案的名字:
* .reg
* .ini
* .bat
* .diz
* .txt
* .cpp
* .html
* .htm
* .jpeg
* .jpg
* .gif
* .cpl
* .dll
* .vxd
* .sys
* .com
* .exe
* .bmp
然後附屬檔案會被附以下面的擴展名:
* .scr
* .pif
* .exe
此外,檔案名稱還會含有下列字串之一::
* readme
* Setup
* Card
* Docs
* news
* image
* images
* pics
* resume
* photo
* video
* music
* song
* data
信息的內容類型與檔案類型相符,會是下列之一:
* text/html
* text/plain
* application/octet-stream
* image/jpeg
* image/gif
最後,蠕蟲會利用 不正確的的 MIMIE 表頭可能導致 IE 執行電子郵件附屬檔案(英文) 的弱點在未使用修補承序的系統上自動執行。
本地機和網路檔案感染
蠕蟲同時會感染本地計算機和網路共用資料夾符合下列檔案名稱的檔案。它會直接將自身附加上去,且形態變化多端。
* scandskw.exe
* regedit.exe
* mplayer.exe
* hh.exe
* notepad.exe
* winhelp.exe
* Internet Explorer\iexplore.exe
* adobe\acrobat 5.0\reader\acrord32.exe
* WinRAR\WinRAR.exe
* Windows Media Player\mplayer2.exe
* Real\RealPlayer\realplay.exe
* Outlook Express\msimn.exe
* Far\Far.exe
* CuteFTP\cutftp32.exe
* Adobe\Acrobat 4.0\Reader\AcroRd32.exe
* ACDSee32\ACDSee32.exe
* MSN Messenger\msnmsgr.exe
* WS_FTP\WS_FTP95.exe
* QuickTime\QuickTimePlayer.exe
* StreamCast\Morpheus\Morpheus.exe
* Zone Labs\ZoneAlarm\ZoneAlarm.exe
* Trillian\Trillian.exe
* Lavasoft\Ad-aware 6\Ad-aware.exe
* AIM95\aim.exe
* Winamp\winamp.exe
* DAP\DAP.exe
* ICQ\Icq.exe
* kazaa\kazaa.exe
* winzip\winzip32.exe
網路共用資料夾感染
蠕蟲會列舉所有的網路已分享檔案夾和計算機並將自身複製到其中。此外,它會試圖將自身複製到遠端系統的 Windows Startup 資料夾。
不管是計算機還使印表機,通通是它侵害的對象。因此,不可避免的它會嘗試將自己列出共享印表機的任務列表中。
鍵盤檢視程式
蠕蟲會在 Windows System 資料夾中放置一個隨機命名的 .DLL 鍵盤記錄程式檔案。該檔案大小為 5,632 位元組,已偵測為 PWS.Hooker.Trojan。蠕蟲會在 Windows 與 Windows System 資料夾中建立其它的加密檔案,這些檔案都有隨機選取的檔案名稱和 .DLL 或 .DAT 的擴展名。這些檔案會儲存設定信息和鍵盤記錄程式記下的輸入。
這些資料夾對系統無害,可以放心刪除。
鍵盤記錄檔案每隔兩小時,或在檔案大於 25000 位元組時被發往下列信箱:
傳送鍵盤記錄檔案時,蠕蟲首先通過註冊鍵關閉自動撥接以避免在斷線時撥號引起懷疑。蠕蟲會在檔案傳送完成後還原原來的設定。
銀行域名
W32.Bugbear.B@mm 有特別針對金融機構設計的功能。蠕蟲的銀行域名名單含有全世界範圍的銀行域名不下一千。
如果 W32.Bugbear.B@mm 確認本地系統的默認電子信箱屬於某個銀行,除了傳送鍵盤記錄檔案外,蠕蟲還會把快取中的撥號網路密碼寄給作者。
上述資料每隔兩小時、或在鍵盤記錄檔案大於 25000 位元組時被發往下列信箱:
程式終止
蠕蟲會嘗試終止下列程式:
* ZONEALARM.EXE
* WFINDV32.EXE
* WEBSCANX.EXE
* VSSTAT.EXE
* VSHWIN32.EXE
* VSECOMR.EXE
* VSCAN40.EXE
* VETTRAY.EXE
* VET95.EXE
* TDS2-NT.EXE
* TDS2-98.EXE
* TCA.EXE
* TBSCAN.EXE
* SWEEP95.EXE
* SPHINX.EXE
* SMC.EXE
* SERV95.EXE
* SCRSCAN.EXE
* SCANPM.EXE
* SCAN95.EXE
* SCAN32.EXE
* SAFEWEB.EXE
* RESCUE.EXE
* RAV7WIN.EXE
* RAV7.EXE
* PERSFW.EXE
* PCFWALLICON.EXE
* PCCWIN98.EXE
* PAVW.EXE
* PAVSCHED.EXE
* PAVCL.EXE
* PADMIN.EOUTPOST.EXE
* NVC95.EXE
* NUPGRADE.EXE
* NORMIST.EXE
* NMAIN.EXE
* NISUM.EXE
* NAVWNT.EXE
* NAVW32.EXE
* NAVNT.EXE
* NAVLU32.EXE
* NAVAPW32.EXE
* N32SCANW.EXE
* MPFTRAY.EXE
* MOOLIVE.EXE
* LUALL.EXE
* LOOKOUT.EXE
* LOCKDOWN2000.EXE
* JEDI.EXE
* IOMON98.EXE
* IFACE.EXE
* ICSUPPNT.EXE
* ICSUPP95.EXE
* ICMON.EXE
* ICLOADNT.EXE
* ICLOAD95.EXE
* IBMAVSP.EXE
* IBMASN.EXE
* IAMSERV.EXE
* IAMAPP.EXE
* FRW.EXE
* FPROT.EXE
* FP-WIN.EXE
* FINDVIRU.EXE
* F-STOPW.EXE
* F-PROT95.EXE
* F-PROT.EXE
* F-AGNT95.EXE
* ESPWATCH.EXE
* ESAFE.EXE
* ECENGINE.EXE
* DVP95_0.EXE
* DVP95.EXE
* CLEANER3.EXE
* CLEANER.EXE
* CLAW95CF.EXE
* CLAW95.EXE
* CFINET32.EXE
* CFINET.EXE
* CFIAUDIT.EXE
* CFIADMIN.EXE
* BLACKICE.EXE
* BLACKD.EXE
* AVWUPD32.EXE
* AVWIN95.EXE
* AVSCHED32.EXE
* AVPUPD.EXE
* AVPTC32.EXE
* AVPM.EXE
* AVPDOS32.EXE
* AVPCC.EXE
* AVP32.EXE
* AVP.EXE
* AVNT.EXE
* AVKSERV.EXE
* AVGCTRL.EXE
* AVE32.EXE
* AVCONSOL.EXE
* AUTODOWN.EXE
* APVXDWIN.EXE
* ANTI-TROJAN.EXE
* ACKWIN32.EXE
* _AVPM.EXE
* _AVPCC.EXE
* _AVP32.EXE
後門例程
蠕蟲同時會在埠 1080 開啟一個監聽埠,方便駭客連線到此埠以便執行下列操作:
* 刪除檔案。
* 結束程式。
* 列出程式並將清單傳送給駭客。
* 列出檔案並將清單傳送給駭客。
* 複製檔案。
* 開啟程式。
* 將攔截到的鍵盤輸入字元傳給駭客 (以加密方式)。如此,輸入計算機的資料有泄漏的可能 (密碼、登錄資料等)。
* 將系統信息以下列方式傳送給駭客:
o 使用者:<使用者名字>
o 處理器:<使用的處理器類型>
o Windows 版本:<Windows 版本、build 號>
o 記憶體信息:<可用的記憶體等>
o 本機硬碟及類型 (例如固定式/可移除/RAM 硬碟/CD-ROM/遠端裝置) 以及某些個體特徵。
* 列出網路資源和類型,並將其傳給駭客。
Symantec Gateway Security
賽門鐵克在 2003 年 6 月 6 日通過 LiveUpdate 發布了 Symantec Gateway Security 更新。
Intruder Alert
賽門鐵克已經為 NetProwler 3.5x 2003 年 6 月 5 日發布了 Intruder Alert 3.5/3.6 policy,如需詳細信息,請單擊這裡。
Netprowler
賽門鐵克在 2003 年 6 月 5 日發布了 NetProwler 3.5.1 的 Security Update 26,可以偵測到 W32.Bugbear.B@mm。如需詳細信息,請單擊這裡。
Symantec ManHunt
要明確偵測到 W32.Bugbear.B@mm,賽門鐵克建議 Symantec ManHunt 用戶打開 HYBRID MODE 功能並使用下列定製規則。
注意:每個簽名都在一行上,下面簽名中的斷行是為了 Web 排版的需要。
*******************start file********************
alert tcp any any -> any 25 (msg:"BugBear B SMTP Worm Propagation"; content:"CwEGAAAgAQAAEAAAAOAGACABCAAA8AYAABAIAAAAQAAAEAAAAAIAAAQAAAAA";)
alert tcp any any -> any 139 (msg:"BugBear B Network Worm Propagation"; content:"|0B010600002001000010000000E006002001080000F006000010080000004000001000000002
000004000000000000000400000000000000002008000010000000000000020000000000100000100000
000010000010000000000000100000000000000000000000001008006401000000000000000000000000
0000000000000000000000000000641108000C|"; content:"|555058300000000000E0060000100000|";)
*************EOF*********************
這些簽名將在蠕蟲通過網路和 SMTP 傳播時被觸發。更多關於如何創建自訂簽名的信息,請參閱 "Symantec ManHunt Administrative Guide: Appendix A Custom Signatures for HYBRID Mode."
此外,Symantec ManHunt Protocol Anomaly 現在將 W32.Bugbear.B@mm 的後門程式活動偵測為 "SOCKS Malformed Data"。如需將此後門程式活動偵測為W32.Bugbear.B@mm,請使用下列定製規則:
*******************start file********************
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|p"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|e"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|f"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|s"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|c"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|o"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|k"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|d"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|r"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|h"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|i"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|z"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|y"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|t"; offset: 20; depth: 2; dsize:>21; )
*************EOF*********************
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
使用 W32.Bugbear.B@mm 防毒工具
使用防毒工具是移除病毒的最簡便方法。賽門鐵克安全回響已經開發出了針對 W32.Bugbear.B@mm 的防毒工具。
手動防毒
手動防毒是使用工具移除病毒的替代方法。
以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
1. 關閉系統還原 (Windows Me/XP)。
2. 更新病毒定義。
3. 將計算機重啟到安全模式 (Windows 95/98/Me/2000/XP) 或 VGA 模式 (Windows NT).
4. 執行完整的系統掃描,刪除所有探測到的 W32.Bugbear.B@mm檔案。
有關如何完成此操作的詳細信息,請參閱下列指導。
關閉系統還原
如果使用的是 Windows Me 或 Windows XP, 建議您暫時關閉系統還原。此功能默認情況下是啟用的,一旦計算機中的檔案被破壞,Windows 可使用該功能將其還原。如果一個病毒、蠕蟲或特洛伊木馬感染了計算機,系統還原也會備份病毒、蠕蟲或特洛伊木馬。
Windows 不允許包括 防病毒程式在內的外部程式對系統還原進行修改。因此,防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣,系統還原就可能將受感染檔案還原到計算機上,即使您已經清除了所有其它位置的受感染檔案。
並且,即使病毒已經移除,病毒掃描也會偵測到系統還原資料夾中的病毒。
有關如何關閉系統還原功能的指導,請參閱 Windows 文檔或下列文章之一:
* 如何禁用或啟用 Windows XP 系統還原
* 如何禁用或啟用 Windows Me 系統還原
更多信息請參照 Microsoft 知識庫文章 "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," 文章 ID:
更新病毒定義
Symantec 在將病毒定義發布到伺服器之前,會對所有病毒定義進行徹底測試,以確保其質量。可使用以下兩種方法獲取最新的病毒定義:
* 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
* 使用智慧型更新程式下載病毒定義:智慧型更新程式病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從 Symantec 安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義,請參考病毒定義(智慧型更新程式)。
現在提供智慧型更新程式病毒定義:有關詳細說明,請參閱如何使用智慧型更新程式更新病毒定義檔案。
安全模式或 VGA 模式
o Windows 95/98/Me/200/XP 用戶 可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機 。
o Windows NT 4 用戶請重啟計算機到 VGA 模式。
確保斷開網路連線
如果您的計算機在網路中,或者是與 Internet 保持連線,請先中斷與網路及/或與 Internet 的連線。 在計算機與網路或 Internet 重新連線之前,請禁用或用密碼保護檔案共享,或將檔案設為唯讀。有關如何完成此操作的指導,請參閱 Windows 文檔或文檔:如何配置共享 Windows 資料夾以儘可能地保護網路。
刪除受感染的檔案
1. 啟動 Symantec 防病毒程式,並確保將其配置為掃描所有檔案。
* Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
* 賽門鐵克企業版防病毒產品:請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。
2. 對系統進行完整掃描。
3. 如果存在經檢測感染了 W32.Bugbear.B@mm 的檔案,請單擊“刪除”。
描述者: Eric Chien
