PE_BUGBEAR.B es una nueva versión de BUGBEAR, que surgió el
año pasado el mes de Esta variante difiere de la anterior en que es un virus
polimórfico con
capacidad de infectar ficheros . (El polimorfismo es una técnica de ocultación
de virus con la que se varía el método de encriptación del virus cada vez que se
copia, obligando a los antivirus a usar técnicas heurísticas. Debido a que el
virus cambia en cada infección es imposible localizarlo buscándolo por cadenas
de código, técnica habitual de análisis).
BUGBEAR.B se trata de un virus de los denominados mixtos por poseer distintas
características de tipos de virus, en este caso tiene características de todos
los tipos de virus, ya que es virus clásico, porque infecta ficheros, también es
troyano, porque abre una puerta trasera, y gusano, se autoenvía. Además, es un
virus bastante complejo que utiliza varios métodos infección.
Sus características principales son:
1) Es un virus de envío masivo de correo electrónico, que realiza a través de su
propio motor SMTP, con lo que puede afectar a distintas plataformas de correo.
Busca las direcciones de correo electrónico a las que autoenviarse de correos
electrónicos guardados en el sistema, libretas de direcciones y buzones de
correo que encuentra en la máquina infectada.
El correo electrónico en el que llega el virus tiene un asunto y un contenido
variable, ya que puede utilizar correos pertenecientes al ordenador infectado
para reenviarse. El nombre del archivo adjunto también es variable, pero podría
contener alguna de las siguientes cadenas de texto:
* Setup
* Card
* Docs
* news
* image
* images
* pics
* resume
* photo
* video
* music
* song
* data
El tamaño del archivo adjunto suele ser de 72.192 bytes. El archivo adjunto
puede contener un nombre de archivo con doble extensión, por ejemplo
ARCHIVO.JPG.EXE. El nombre base del archivo y su primera extensión se obtiene
del archivo de documentos del sistema infectado. La segunda extensión que
utiliza el virus es una de las siguientes:
* exe
* scr
* pif
Además, utiliza una vulnerabilidad de Microsoft que hace que se ejecute
automáticamente el archivo que contiene el virus. Al abrir el correo o verlo con
vista previa se ejecuta automáticamente el archivo adjunto. La vulnerabilidad es
conocida como Incorrecta cabecera MIME (para más información:
Una vez se ejecuta el virus, se copia a sí mismo en la carpeta de inicio del
ordenador, creando una entrada de registro, que le permite ponerse en
funcionamiento cada vez que se inicie el ordenador.
2) PROPAGACIÓN A TRAVÉS DE REDES INFORMÁTICAS.
El virus infecta múltiples archivos ejecutables (extensión .EXE) tanto en el
propio ordenador infectado como en recursos de red. Bugebear.B infecta archivos
al incluir su código malicioso al fichero. Para infectar a través de la red,
primero busca discos y carpetas compartidas en la red y entonces busca ciertos
archivos ejecutables que se suelen encontrar en determinadas carpetas para
propagarse.
3) Abre una puerta trasera y permite ver qué se teclea en el ordenador
infectado.
El virus instala un capturador de pulsaciones de teclado (keylogger) que permite
ver todo lo que el usuario va tecleando en su ordenador, con lo que se podrían
extraer las contraseñas, número de la tarjeta de crédito... Además abre el
puerto 1080, a traves del cual los usuarios maliciosos podrían realizar las
siguientes acciones de forma remota:
* Descargar y ejecutar archivos
* Copiar y borrar archivos
* Listar procesos
* Detener procesos
* Encontrar y ejecutar archivos
* Establecer un servidor HTTP
* Robar información de la máquina infectada
Todas estas acciones pueden comprometer la seguridad de los equipos y de una
red.
4) Finaliza cierto software antivirus de seguridad, que
incluye tanto
cortafuegos (firewall) como antivirus.
De este modo, se dejaría de actualizar el software de seguridad en los equipos