Il virus si sta diffondendo con sempre maggiore intensità. E questo ne fa aumentare la pericolosità. Tuttavia con qualche accorgimento se ne può evitare il contagio. Con l’aiuto di McAfee vi spieghiamo come
4 ottobre 2002 Prendiamo spunto da una nota
informativa di McAfee per entrare più nel dettaglio delle caratteristiche che
contraddistinguono Bugbear, come verificarne le presenza e come eliminarlo.
Bugbear è un worm mass mailing dannoso che si diffonde tramite condivisioni
di rete e si autoinvia utilizzando la posta elettronica avvalendosi della
rubrica indirizzi locale dell’utente. Ha inoltre una componente backdoor Trojan.
È stato individuato in vari paesi tra cui Stati Uniti, Australia, India, Brazile
e Europa Occidentale.
Sintomi
Bugbear è un worm Internet che una volta attivato
si autoinvia tramite posta elettronica agli indirizzi presenti nella rubrica del
sistema locale dell’utente. Una volta attivo sul PC della vittima, Bugbear si
duplica nel sistema di directory di Windows come un file qualsiasi eseguibile
con l’estensione .EXE. La chiave del Local Machine Registry è settata in modo da
agganciarsi al successivo avvio del sistema. Il worm quindi si duplica nella
cartella di Avvio sul Pc della vittima come ***.EXE, dove “***” indica un file a
caso.
Poiché Bugbear utilizza varie intestazioni nello spazio riservato
all’oggetto, gli utenti devono immediatamente cancellare i messaggi di posta
elettronica che contengono quanto segue:
Oggetto: Found, Daily Email Reminder, Just a reminder,
Lost, Market Update Report, Membership Confirmation, Your News Alert.
Il testo potrebbe anche essere di tipo diverso, ma comunque è sempre in
lingua inglese.
Testo della mail: Il corpo del messaggio e il nome
dell’allegato possono variare. Il primo può contenere frammenti di file presenti
nel sistema della vittima. Anche il nome dell’allegato può variare e può
contenere stringhe come Card, Docs, Image, Music, Photo, Pics, Readme, Resume,
Video.
È abbastanza comune che il nome dell’allegato contenga una
doppia estensione, come per esempio doc.pif. I messaggi in uscita utilizzano
l’intestazione sbagliata MIME in Microsoft Internet Explorer, il che può portare
le versioni 5.01 o 5.5 senza SP2 del browser a eseguire gli allegati di
posta.
Componente Trojan: Bugbear apre una porta sul computer della
vittima, per la precisione la porta 36794, e cerca alcuni processi in
esecuzione, bloccandoli quando li trova. La lista dei processi bloccati include
molti dei più diffusi prodotti antivirus e firewall personali. Il virus deposita
inoltre una DLL sul computer della vittima che viene individuata come
PWS-Hooker-dll.
Una volta che Bugbear ha infettato un computer, cercherà di
terminare il processo dei programmi di sicurezza del computer. Tra questi
troviamo:
– ACKWIN32.exe
– CLEANER.exe
– ESPWATHC.exe
–
FINDVIRU.exe
– F-AGNT95.exe
– NAVAPW32.exe
– RESCUE.exe
–
SAFEWEB.exe
– ZONEALARM
La lista completa dei programmi di sicurezza interessati è disponibile
all’indirizzo: http://vil.nai.com/vil/content/v_99728.htm.
Cura
È altamente consigliato di aggiornare le definizioni dei virus
presenti nel proprio antivirus. Questa è un’operazione che solitamente viene
effettuata in automatico dal software quando si è collegati a Internet. Ma può
anche essere forzata dall’utente in occasioni di estrema urgenza quale quella
attuale.
Tuttavia, chi a causa di un comportamento evidentemente strano del
computer, volesse accertarsi dell’eventuale presenza del virus può scaricare dal
sito http://vil.nai.com/vil/stinger/ un
programmino che individua ed elimina Bugbear.