Hallo !
Da diese Frage in gewandelter Form schon öfters vorkam hier mal eine annähernd vollständige Beschreibung der Routine dieses Wurmes. :
W32/Bugbear-B ist ein netzwerkfähiger Virus. W32/Bugbear-B verbreitet sich, indem er E-Mails mit Attachments versendet und indem er freigegebene Ressourcen in Ihrem Netzwerk aufspürt und sich dorthin kopiert.
Der Virus versucht, eine MIME- und eine IFRAME-Schwachstelle in einigen Versionen von Microsoft Outlook, Microsoft Outlook Express und des Internet Explorers auszunutzen. Durch diese Schwachtstellen kann ein ausführbares Attachment automatisch gestartet werden, auch wenn der Anwender gar nicht auf das Attachment doppelt geklickt hat. Microsoft hat ein Patch zur Verfügung gestellt, das vor solchen Angriffen schützt. Das Patch kann vom Microsoft Security Bulletin MS01-027 heruntergeladen werden. (Diese Patch schließt auch andere Schwachstellen in Software von Microsoft, einschließlich der, die von diesem Virus ausgenutzt wird.)
Wenn der Virus aktiv ist, erscheinen mehrere neue Dateien auf dem Computer des Anwenders. Die Namen dieser Dateien bestehen aus Buchstaben des Alphabets, die zufällig von dem Virus ausgewählt werden. Man findet:
xxx.EXE (normalerweise 72192 Bytes) im Autostart-Ordner
und
zzzzzzz.DLL (normalerweise 5632 Bytes) im System-Ordner
Die EXE-Datei ist eine ausführbare Kopie des Virus. Die DLL ist ein Tool zum Speichern von Tastenfolgen, das von dem Virus verwendet wird, wenn er aktiviert wird.
Der Virus verbreitet sich via E-Mail. Die E-Mails können wie normale E-Mails aussehen, können aber auch gar keinen Text enthalten und folgende Betreffzeilen haben:
Hello!
update
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
fantastic
click on this!
Market Update Report
empty account
My eBay ads
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
$150 FREE Bonus!
Your News Alert
Get 8 FREE issues - no risk!
Greets!
Die Attachments können denselben Dateinamen wie eine andere Dateien auf dem Computer des Opfers haben.
Die Attachments haben doppelte Erweiterungen, wobei die zweite Erweiterung EXE, SCR oder PIF ist.
Bitte beachten Sie, dass der Virus die "Sender"- und "Antwort an"-Felder in den versendeten E-Mails fälschen kann.
Zusätzlich infiziert W32/Bugbear-B die folgenden Dateien im Windows-Ordner:
scandskw.exe
regedit.exe
mplayer.exe
hh.exe
notepad.exe
winhelp.exe
und folgende Dateien im Programme-Ordner:
Internet Exploreriexplore.exe
adobeacrobat 5.0
eaderacrord32.exe
WinRARWinRAR.exe
Windows Media Playermplayer2.exe
RealRealPlayer
ealplay.exe
Outlook Expressmsimn.exe
FarFar.exe
CuteFTPcutftp32.exe
AdobeAcrobat 4.0ReaderAcroRd32.exe
ACDSee32ACDSee32.exe
MSN Messengermsnmsgr.exe
WS_FTPWS_FTP95.exe
QuickTimeQuickTimePlayer.exe
StreamCastMorpheusMorpheus.exe
Zone LabsoneAlarmoneAlarm.exe
TrillianTrillian.exe
LavasoftAd-aware 6Ad-aware.exe
AIM95aim.exe
Winampwinamp.exe
DAPDAP.exe
ICQIcq.exe
kazaakazaa.exe
winzipwinzip32.exe
W32/Bugbear-B lässt einen Thread im Hintergrund laufen, der versucht, Antiviren- und Sicherheitsprogramme mit einem der folgenden Dateinamen zu beenden:
ZONEALARM.EXE, WFINDV32.EXE, WEBSCANX.EXE, VSSTAT.EXE, VSHWIN32.EXE, VSECOMR.EXE, VSCAN40.EXE, VETTRAY.EXE, VET95.EXE, TDS2-NT.EXE, TDS2-98.EXE, TCA.EXE, TBSCAN.EXE, SWEEP95.EXE, SPHINX.EXE, SMC.EXE, SERV95.EXE, SCRSCAN.EXE, SCANPM.EXE, SCAN95.EXE, SCAN32.EXE, SAFEWEB.EXE, RESCUE.EXE, RAV7WIN.EXE, RAV7.EXE, PERSFW.EXE, PCFWALLICON.EXE, PCCWIN98.EXE, PAVW.EXE, PAVSCHED.EXE, PAVCL.EXE, PADMIN.EXE, OUTPOST.EXE, NVC95.EXE, NUPGRADE.EXE, NORMIST.EXE, NMAIN.EXE, NISUM.EXE, NAVWNT.EXE, NAVW32.EXE, NAVNT.EXE, NAVLU32.EXE, NAVAPW32.EXE, N32SCANW.EXE, MPFTRAY.EXE, MOOLIVE.EXE, LUALL.EXE, LOOKOUT.EXE, LOCKDOWN2000.EXE, JEDI.EXE, IOMON98.EXE, IFACE.EXE, ICSUPPNT.EXE, ICSUPP95.EXE, ICMON.EXE, ICLOADNT.EXE, ICLOAD95.EXE, IBMAVSP.EXE, IBMASN.EXE, IAMSERV.EXE, IAMAPP.EXE, FRW.EXE, FPROT.EXE, FP-WIN.EXE, FINDVIRU.EXE, F-STOPW.EXE, F-PROT95.EXE, F-PROT.EXE, F-AGNT95.EXE, ESPWATCH.EXE, ESAFE.EXE, ECENGINE.EXE, DVP95_0.EXE, DVP95.EXE, CLEANER3.EXE, CLEANER.EXE, CLAW95CF.EXE, CLAW95.EXE, CFINET3!
2.EXE, CFINET.EXE, CFIAUDIT.EXE, CFIADMIN.EXE, BLACKICE.EXE, BLACKD.EXE, AVWUPD32.EXE, AVWIN95.EXE, AVSCHED32.EXE, AVPUPD.EXE, AVPTC32.EXE, AVPM.EXE, AVPDOS32.EXE, AVPCC.EXE, AVP32.EXE, AVP.EXE, AVNT.EXE, AVKSERV.EXE, AVGCTRL.EXE, AVE32.EXE, AVCONSOL.EXE, AUTODOWN.EXE, APVXDWIN.EXE, ANTI-TROJAN.EXE, ACKWIN32.EXE, _AVPM.EXE, _AVPCC.EXE, _AVP32.EXE
Die Komponente zum Speichern von Tastenfolgen in W32/Bugbear-B (die DLL) fängt die Tastatureingaben ab, so dass die Tastenfolgen im Speicher aufgezeichnet werden.
W32/Bugbear-B öffnet Port 1080 und wartet auf Befehle von einem Remote-Rechner. Je nach den gesendeten Anweisungen kann ein Remote-Benutzer folgendes auf dem Computer des Opfers versuchen:
Ausspionieren von Kennwörtern im Cache-Speicher in einer verschlüsselten Form
Download und Start einer Datei
Suchen von Dateien
Löschen von Dateien
Ausführen von Dateien
Kopieren von Dateien
Schreiben in Dateien
Auflisten von Prozessen
Beenden von Prozessen
Ausspionieren von Informationen, wie Benutzername, Prozessortyp, Windows Version, Speicherdaten (verwendete Größe, freier Speicherplatz etc.), Lauwerkinformationen (Typen der verfügbaren lokalen Laufwerke, Speicher auf diesen Laufwerken etc.).
Der Remote-Benutzer kann außerdem versuchen, Port 80 (HTTP) auf dem Computer des Opfers zu öffnen, sich dann mit dem Backdoor-Webserver (möglicherweise ein Apache 1.3.26-artiger Webserver) zu verbinden, der von W32/Bugbear-B zur Verfügung gestellt wurde und so einen gewissen Grad an Steuerung über den infizierten Computer zu erreichen.
Ich hoffe doch damit diese Frage umfassend beantwortet zu haben
MfG
winbooster
