Bezeichnung |
Name |
Typ |
BugBear.B |
Win32.BugBear.B@mm |
Ausführender Backdoor Mass Mailer Infektor |
Schaden |
Entdeckt |
Ermittelt |
Mittel |
05.06.2003 |
05.06.2003 |
Größe |
Verbreitung |
Noch unterwegs |
72192 bytes |
Hoch |
Ja |
Andere Namen |
W32/Bugbear@MM, W32.Bugbear.B@mm |
|
|
Symptome :
|
Dies ist ein Internet Wurm, der sich durch Emails und Netzwerk Shares verbreitet. Er benutzt die IFRAME Schwäche.
Der Wurm kopiert sich in den STARTUP Ordner unter einem willkürlichen Namen xxxx.exe und beendet sich.
|
Technische Beschreibung:
|
Nach dem Neustart legt der Wurm eine Trojaner Keyloger dll Datei mit willkürlichem Namen ab. Sie kann die gedrückten Tasten ermitteln. In zwei anderen dll Dateien werden die Infos verschlüsselt aufbewahrt. Er schafft eine dat Datei wo er Infos über die Computer Settings speichert.
Er infiziert folgende Dateien:
Programm Dateien:
winzip\winzip32.exe
kazaa\kazaa.exe
ICQ\Icq.exe
DAP\DAP.exe
Winamp\winamp.exe
AIM95\aim.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
Trillian\Trillian.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
StreamCast\Morpheus\Morpheus.exe
QuickTime\QuickTimePlayer.exe
WS_FTP\WS_FTP95.exe
MSN Messenger\msnmsgr.exe
ACDSee32\ACDSee32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
CuteFTP\cutftp32.exe
Far\Far.exe
Outlook Express\msimn.exe
Real\RealPlayer\realplay.exe
Windows Media Player\mplayer2.exe
WinRAR\WinRAR.exe
adobe\acrobat 5.0\reader\acrord32.exe
Internet Explorer\iexplore.exe
Im %windir%:
winhelp.exe
notepad.exe
hh.exe
mplaer.exe
regedit.exe
scandskw.exe
Er beendet verschiedene Antiviren Prozesse.
Er schreibt sich in alle Netzwerk Shares mit dem Namen Setup.exe.
Der Wurm versendet sich per Email unter Benutzung der lokalen SMTP Settings. Die Adressen stammen aus Dateien mit folgendem Textteil: .ODS, INBOX, .MMF, .NCH, MBX, EML, DBX, ini, INI.
Wenn diese Dateien Maildatenbanken sind, antwortet er auf empfangenen Mails, indem er die Originalanhänge mit dem Virus tauscht und eine dieser Endungen anfügt: .exe, .scr, .pif. Wenn die Mails keine Anhänge haben, nimmt er einen von der Virusliste oder von der Festplatte und hängt ihn an die Email.
Der Wurm hat Backdoor Fähigkeiten. Er wartet auf HTTP Verbindungen auf Port 1080.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.BugBear.B@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
|
aktuelle Viren
Meldungen |
|
|
weitere Dienste |
|
|
|