Home



 
BUGBEAR.B

O vírus Bugbear.B, nova variante do Bugbear, atacou no início deste mês  (junho/2003) e fez uma grande quantidade de vítimas, sua ação não difere muito de outros vírus, contudo verificou-se que estava longe de ser um daqueles tormentos que atrapalham a produtividade, desta vez veio preparado para ler o teclado e deixar seu equipamento pronto para ser utilizado por um hacker.

 

Desta vez não era um boato, faz algum tempo que não viamos um vírus tão maliciososo, um "lobo com pele de cordeiro". E o pior é que inicialmente os antívirus não detectaram sua presença, dependendo da versão do seu outlook, não precisavamos nem abrir o anexo para tê-lo instalado na máquina.

O que desejam?

O vírus poderia ler sua senha bancária no momento em que você acessa o Netbanking? A resposta é, poderia e deve ter feito, observa-se que o foco central do ataque está na associação perigosa entre um backdoor e um leitor de teclado, potencializado por um gerenciador de processos capaz de interromper seu antivirus.

Poucas pessoas entenderam o risco que corriam ao serem contaminadas, na verdade elas ficaram mais preocupadas com a forma exponencial que ele se multiplicava, enviando e-mails indefinidamente, do que com as ações de espionagem em sua máquina, podemos observar uma maldade ligada a fraudes, que venceu os processos mais comuns de defesa dos principais antívirus do mercado.

As mutações sofridas pelo Bugbear aparentam ter razões práticas, não acreditamos ser a disseminação em massa o objetivo central de seu código, a quantidade de sofisticações das suas capacidades de conexão e leitura de teclado, nos levam a conclusão de que seu foco está na obtenção de dados sigilosos, senhas de acesso, netbanking, espionagem de uma maneira geral.

Detalhes do Funcionamento

O BugBear.b é classificado como um worn, é uma variante do vírus W32.Bugbear@mm, um worn de distribuição em massa, infectando arquivos executáveis e apropriando-se das atividades do teclado, com capacidades de backdoors.

Principais ações do vírus após infecção:

  • Acrescenta um arquivo executável na forma de três letras aleatórias escolhidas pelo agressor "???.exe";
  • Envia cópias de si mesmo para os endereços de e-mail obtidos na Caixa de entrada, bem como em arquivos das seguintes extensões: .mmf, .nch, .mbx, .eml, .tbb, .dbx, .ocs ;
  • Identifica os compartilhamentos de rede e busca difundir-se;
  • Registra e deposita num arquivo .dll no diretório /windows/system, o conteúdo das atividades do teclado, de forma criptografada;
  • Tenta finalizar os processos dos principais antivírus do mercado;
  • Permite conexão pela porta 1080, onde hackers podem excluir ou copiar arquivos; iniciar, listar e finalizar processos; entregar as atividades do teclado (captura do arquivo .dll contendo as informações das atividades).

Informações técnicas detalhadas podem ser obtidas junto ao site.

Norton Antivirus: 

http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/br-w32.bugbear.b@mm.html 

O que fazer?

1- Tenha um antivírus atualizado instalado no computador
2- Não abra arquivos com extensões estranhas anexados a e-mail  
Se seu micro já foi infectado pelo BugBear, é possível removê-lo com algumas ferramentas criadas pelos fabricantes de antivírus. Se você tem um dos antivírus abaixo, clique no link correspondente para copiar já a ferramenta de remoção do BugBear:

- McAfee ViruScan - Stinger: http://download.nai.com/products/mcafee-avert/stinger.exe
- Norton Antivírus - FixBugb: http://securityresponse.symantec.com/avcenter/FixBugb.exe
- PC-cillin - TSC: http://www.trendmicro.com/ftp/products/tsc/tsc.zip
- Panda Active Scan - PQRemove: http://pandasoftware.com/support/card.aspx?id=1554&IdIdioma=2&ref=WpaVirEnciclopedia

 


.
Webmaster: Claudemir C. Santos  | Direitos Reservados