Описание
Win32.HLLM.Bugbear - вирусная программа-червь. Написана на языке программирования высокого уровня Microsoft Visual C/C++ и упакована упаковщиком UPX.
Программа содержит в себе Троянский компонент и после попадания на компьютер открывает в пораженной системе люк, что может привести к утечке конфиденциальной информации с компьютера пользователя.
Предпринимает попытки завершить работу некоторых антивирусных программ и межсетевых экранов (брандмауэров).
Червь массово распространяется по электронной почте используя собственную реализацию протокола SMTP, чем существенно увеличивает нагрузку на почтовые сервера. Обладает возможностью распространяться по сетевым доступным для совместного использования дискам.
Для попадания на компьютер жертвы
использует давно известную уязвимость в системе безопасности MS
Internet Explorer, так называему Incorrect MIME
Header Can Cause IE to Execute E-mail Attachment , которая позволяет вложенному в письмо
программному файлу (с вирусом) автоматически запускаться при простом
просмотре почты в таких клиентах, как MS Outlook и MS Outlook
Express (версии 5.01 и 5.5).
Распространение
Полученное на компьютер пользователя почтовое сообщение, инфицированное Win32.HLLM.Bugbear обладает следующими характеристиками:
Тема сообщения: не имеет четко определенной темы, а выбирается червем из списка тем, хранящихся в его коде и может быть, например
* CALL FOR INFORMATION!
* click on this!
* Correction of errors
* Cows
* Daily Email Reminder
* empty account
* fantastic
* free shipping!
* Get 8 FREE issues - no risk!
* Get a FREE gift!
* Greets!
* Hello!
* Hi!
* history screen
* hmm..
* I need help about script!!!
* Interesting...
* Introduction
* its easy
* Just a reminder
* Lost & Found
* Market Update Report
* Membership Confirmation
* My eBay ads
* New bonus in your cash account
* New Contests
* new reading
* News
* Payment notices
* Please Help...
* Re: $150 FREE Bonus!
* Report
* SCAM alert!!!
* Sponsors needed
* Stats
* Today Only
* Tools For Your Online Business
* update
* various
* Warning!
* wow!
* Your Gift
* Your News Alert
Наименование вложения варьируется, но всегда содержит два расширения, последнее из которых будет .exe, .scr или .pif. В названии вложения также могут использоваться следующие слова: Card, Docs, image,images, music, news, photo, readme, resume, Setup, song, video.
Размер вложения: 50,688 байт
Действия
После попадания на компьютер пользователя, в системную директорию Windows червь помещает свою копию - файл с названием из случайно выбранных символов и расширением .exe. При тестировании были получены, например, следующие наименования файлов:
Для обеспечения автоматического запуска своих вредоносных копий
в реестровую запись
HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunOnce
червь добавляет данные \\\"%набор случайно выбранных символов%\\\" = %название файла, состоящее из набора случайно выбранных символов%.EXE. При тестировании была получена, например, следующая реестровая запись
Тот же принцип используется червем при помещении своей копии в стартовой директории локального компьютера и доступных для совместного использования сетевых дисков.
Далее червь создает три зашифрованных файла в формате .dll и два файла в формате .dat в директории системной Windows. Названия файлов формируются червем из произвольно выбранных символов и не несут в себе никакого вредоносного кода и могут быть, например, DDGUJUG.DLL, FFKQPQK.DLL.
Поселившись в системе червь открывает порт 36794 и предпринимает попытки завершить работу некоторых антивирусных программ и межсетевых экранов.
* ACKWIN32.exe
* F-AGNT95.exe
* ANTI-TROJAN.exe
* APVXDWIN.exe
* AUTODOWN.exe
* AVCONSOL.exe
* AVE32.exe
* AVGCTRL.exe
* AVKSERV.exe
* AVNT.exe
* AVP32.exe
* AVP32.exe
* AVPCC.exe
* AVPCC.exe
* AVPDOS32.exe
* AVPM.exe
* AVPM.exe
* AVPTC32.exe
* AVPUPD.exe
* AVSCHED32.exe
* AVWIN95.exe
* AVWUPD32.exe
* BLACKD.exe
* BLACKICE.exe
* CFIADMIN.exe
* CFIAUDIT.exe
* CFINET.exe
* CFINET32.exe
* CLAW95.exe
* CLAW95CF.exe
* CLEANER.exe
* CLEANER3.exe
* DVP95_0.exe
* ECENGINE.exe
* ESAFE.exe
* ESPWATCH.exe
* FINDVIRU.exe
* FPROT.exe
* IAMAPP.exe
* IAMSERV.exe
* IBMASN.exe
* IBMAVSP.exe
* ICLOAD95.exe
* ICLOADNT.exe
* ICMON.exe
* ICSUPP95.exe
* ICSUPPNT.exe
* IFACE.exe
* IOMON98.exe
* JEDI.exe
* LOCKDOWN2000.exe
* LOOKOUT.exe
* LUALL.exe
* MOOLIVE.exe
* MPFTRAY.exe
* N32SCANW.exe
* NAVAPW32.exe
* NAVLU32.exe
* NAVNT.exe
* NAVW32.exe
* NAVWNT.exe
* NISUM.exe
* NMAIN.exe
* NORMIST.exe
* NUPGRADE.exe
* NVC95.exe
* OUTPOST.exe
* PADMIN.exe
* PAVCL.exe
* PAVSCHED.exe
* PAVW.exe
* PCCWIN98.exe
* PCFWALLICON.exe
* PERSFW.exe
* F-PROT.exe
* F-PROT95.exe
* RAV7.exe
* RAV7WIN.exe
* RESCUE.exe
* SAFEWEB.exe
* SCAN32.exe
* SCAN95.exe
* SCANPM.exe
* SCRSCAN.exe
* SERV95.exe
* SPHINX.exe
* F-STOPW.exe
* SWEEP95.exe
* TBSCAN.exe
* TDS2-98.exe
* TDS2-NT.exe
* VET95.exe
* VETTRAY.exe
* VSCAN40.exe
* VSECOMR.exe
* VSHWIN32.exe
* VSSTAT.exe
* WEBSCANX.exe
* WFINDV32.exe
* ZONEALARM.exe
Данный троянский компонент червя позволяет ему также загружать и выгружать из системы файлы, приводить в действие команды, запуская или прекращая работу исполняемых файлов.
