México, (Notimex).- McAfee Anti-Virus Emergency Response Team (AVERT, por sus siglas en inglés) elevó el nivel de riesgo del virus W32/Bugbear.b@MM de medio a alto, debido a que el número de infecciones en el continente americano ha aumentado y en México ya se registraron los primeros casos.
Empresas de seguridad informática alertaron la víspera a los usuarios finales y residenciales sobre la aparición del nuevo virus, identificado por Trend Micro como PE_BUGBEAR.B y por McAfee y Symantec como W32/Bugbear.B@mm.
En un reporte de Network Associates, McAfee Security señala que de origen desconocido y descubierto el 4 de junio de 2002, W32/Bugbear.b@MM es un virus complejo que contiene elementos como mass-mailer y propagación vía compartición de redes.
Otros elementos son keylogger, troyano de acceso remoto, archivo parásito polimórfico y terminación de software de seguridad.
Explica que este virus se envía a todas las direcciones encontradas en el sistema local, cada dirección es colocada en el campo TO: (Para) y From (De), con lo que la dirección del remitente es falsificada, no indicando el nombre real del usuario infectado.
Este virus, abunda, extrae las direcciones de la máquina infectada a partir de los archivos con las siguientes extensiones: .DBX, EML, INBOX, .MBX, .MMF, .NCH, .ODS Y .TBB.
La firma indica que en esta nueva variante (.b) del virus -según Tren Micro descubierto en septiembre del año pasado-, las posibles líneas de campo "Asunto del Mensaje" pueden ser 25 merchants and rising, announcement, bad news, CALL FOR INFORMATION! y click on this!.
Asimismo, Correction of errors, cows, daily email reminder, empty account, fantastic, free shipping!, get 8 FREE issues-no risk!, Get a FREE gift!, Greets, Hello, Hi!, history sreen, hmm, Ineed help about script!!!, Interesting..., Introduction e its easy.
Además, puede contener Just a reminder, Lost & Found, Market Update Report, Membership Confirmation, My eBay ads, New bonus in your cahs account, New Contests, new reading, News, Playment notices, Please Help..., Re: $150 FREE Bonus!, Report y SCAM alert !!!.
De igual forma, Sponsors neede, Stats, Today Only, Tools For Your Online Business, update, various, Warning!, wow! y Your Gift, añade la firma, aunque aclara que pueden existir otras posibles líneas de campo de manera aleatoria.
Advierte que el cuerpo del mensaje varía y puede contener fragmentos de archivos encontrados en la máquina de la víctima, además de que los nombres de los adjuntos también varían, pero pueden contener algunos de los siguientes nombres con extensiones .exe, .pif y .scr.
Estos nombres pueden ser: Card, Docs, image, images, music, news, photo, pics, readme, resume, Setup, song y video.
Refiere que el nombre del archivo también puede ser tomado de archivos encontrados en "Mis Documentos" y es común que el adjunto tenga una doble extensión, como es "doc.pif", mientras que los mensajes enviados tienen como objetivo explorar la vulnerabilidad del encabezado MIME de Internet Explorer 5,01 y 5.5 sin Service Pack 2.
Señala que Bubbear.b se copia en la carpeta Inicio con un nombre de archiovo aleatorio y su propagación se hace también a través de copias hacia las carpetas de Inicio de máquinas remotas dentro de la red.
Respecto al elemento KeyLog, McAfee detalla que el virus instala un archivo DLL responsable de esa función que captura todas las palabras dirigidas por el usuario.
Indica que el nombre del archivo DLL también es aleatorio, que consta de siete caracteres seguido de una extensión propiamente dicha y que es colocado en el directorio System de Windows junto con otros dos archivos usando nombres iguales.
Estos archivos, anota, contienen información capturada y encriptada, pero adicionalmente el nombre de un archivo aleatorio, .DAT, es copiado dentro del directorio de instalación de Windows.
En tanto, el troyano de acceso remoto abre el puerto TCP 1080, permitiendo al atacante accesar y controlar el sistema contactado.
Subraya que Bugbear intenta infectar ejecutables específicos que están dentro de los archivos de programa y también busca infectar archivos como hh.exe, mplayer.exe, notepad.exe, regedit.exe, scandskw.exe, winhelp.exe y ACDSee32ACDSee32.exe.
También a los archivos AdobeAcrobat4.0ReaderAcroRod32.exe, adobeacrobat5.0reader|acror32.exe, AIM95aim.exe, CuteFTPcutftp32.exe, DAPDAP.exe, FarFar.exe y ICQicq.exe.
La firma de seguridad informática agrega la cura de este virus puede encontrarse en el sitio de AVERT en la dirección www//vil.nai.com/vil/content/v_100358.htm McAfee Security recomienda mantener actualizados los antivirus y estar configurados para la protección de archivos comprimidos.
La víspera, Trend Micro dio a conocer que el gusano PE_BUGBEAR.B es un virus de infección de archivo, variante del gusano WORM_BUGBEAR.A descubierto en septiembre de 2002.
Señaló que el nuevo gusano incluye todas las funcionalidades de su antecesor, incluidas las capacidades de puerta trasera y la capacidad de infectar archivos, además que utiliza su propio motor SMTP para enviarse por correo a direcciones que obtiene del equipo infectado.
Trend Micro recomienda, antes de proceder a retirar el virus, identificar el programa que contiene el código maligno, y revisar los sistemas con sus productos actualizados con el patrón de virus 557, además de anotar todos los archivos detectados como portadores de PE_BUGBEAR.B.