Virus Bugbear

La Peligrosidad varía según el Daño y la Propagación


Peligrosidad			Propagación			Daño

Descripción

Detalles

Solución

Estadísticas

Efectos:

El efecto principal provocado por la infección del gusano Bugbear es el ataque a ficheros utilizados por diversos programas antivirus y firewalls.

Si desea ver los distintos ficheros, pulse aqui.

Metodo de infección:

Para realizar su infección, Bugbear crea los siguientes ficheros:

~PHQGHUM.TMP, en el directorio temporal de Windows, con un tamaño de 20 Bytes.
Dos ficheros con extensión EXE (ejecutable). Uno de ellos se localiza en el directorio de sistema y el otro en el de inicio de Windows. Los nombres de los dos ficheros son puestos por el virus al azar. Bugbear los ejecuta en cada inicio o arranque de Windows.
Y otro fichero, con extensión DLL (librería), en el directorio de sistema de Windows.

Bugbear crea la siguiente entrada en el Registro de Windows:

HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce=
Crea esta entrada, introduciendo como valor el nombre del fichero con extensión EXE que creó en el directorio de sistema de Windows. El objetivo de esta entrada es activar el virus en cada arranque o inicio de Windows.

Adicionalmente, Bugbear utiliza las siguientes técnicas:

Se aprovecha de una vulnerabilidad conocida como: Exploit Iframe.
Utiliza el puerto de comunicaciones 36794 para realizar conexiones remotas.
Trata de evitar el envío del correo con el fichero que origina la infección a las direcciones de correo que contienen alguna de las siguientes palabras: list, localdomain, localhost, lyris, mailer-daemon, majordom, nobody@, noreply, postmaster@, recipients, remove, root@, spam, talk, ticket, trojan, undisclosed, virus.

Metodo de propagación:

Bugbear llega en un mensaje de correo electrónico cuyo asunto y contenido es diferente en cada ocasión. Por este motivo, es difícil de reconocer y muy fácil infectarse con él.

Las características más habituales de este mensaje de correo son las siguientes:

Asunto. Aunque el virus puede contener diferentes asuntos (incluso distintos a los aquí enunciados), sirva de referencia el siguiente listado ordenado alfabéticamente:

$150 FREE Bonus!, 25 merchants and rising CALL FOR INFORMATION!, Announcement, bad news, click on this!, Correction of errors, Cows, Daily Email Reminder, empty account, fantastic, free shipping!, Get 8 FREE issues - no risk!, Get a FREE gift!, Greets!, Hello!, Hi!, history screen, hmm.., I need help about script!!!, Interesting..., Introduction, its easy, Just a reminder, Lost & Found, Market Update Report, Membership Confirmation, My eBay ads, New bonus in your cash account, New Contests, new reading, News, Payment notices, Please Help..., Re:, Report, SCAM alert!!!, Sponsors needed, Stats, Today Only, Tools For Your Online Business, update, various, Warning!, wow!, Your Gift o Your News Alert.
Ficheros adjuntos. El fichero que origina la infección y que llega incluido en el mensaje puede tener un nombre variable. Sin embargo, en ocasiones el nombre del fichero adjunto contiene alguna de las siguientes palabras: CARD, DATA, DOCS, IMAGE, IMAGES, MUSIC, NEWS, PHOTO, PICS, README, RESUME, SETUP, SONG, VIDEO.
Además, la extensión del fichero puede ser doble.

Bugbear falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

Otros detalles:

Bugbear tiene un tamaño de 50688 Bytes (cuando el fichero que contiene el virus se distribuye comprimido con UPX) y está escrito en el lenguaje de programación Visual C.