Szerző: Bodnár Ádám

2003. június 5. 14:57

A Bugbear vírus új, továbbfejlesztett változata bukkant fel

[VirusBuster] Tavaly ősszel hallhattunk először a Bugbear féregvírusról. A Microsoft Outlook, Outlook Express levelezőprogramon keresztül terjedő kórokozó beépített trójai (kémprogram) lehetőségekkel rendelkezik, többek között a begépelt szöveget (így a jelszavakat is) naplózza. Most feltűnt a vírus új változata.

[VirusBuster] Tavaly ősszel hallhattunk először a Bugbear féregvírusról. A Microsoft Outlook, Outlook Express levelezőprogramon keresztül terjedő kórokozó beépített trójai (kémprogram) lehetőségekkel rendelkezik, többek között a begépelt szöveget (így a jelszavakat is) naplózza. Most feltűnt a vírus új változata.

A Bugbear.B általában fertőzött e-mail üzenetek mellékleteként érkezik. A vírus lefuttatásakor bemásolja magát az összes felhasználóra vagy az aktuális felhasználóra érvényes Startup könyvtárba véletlenszerűen választott, négybetűs névvel és .EXE kiterjesztésse . Így minden rendszerinduláskor automatikusan elindul. Védelmi rutinja leállítja számos víruskereső és tűzfal program futását, ezen felül a Windows rendszerkönyvtárban létrehoz egy .DLL kiterjesztésű állományt, amely egy billentyűleütéseket rögzítő program. A vírus backdoor modulja a 1080-as porton várja a parancsokat.

A féreg a számítógépen található .mmf, .nch, .mbx, .eml, .tbb, .dbx és .ods állományokból gyűjti ki azokat az e-mail címeket, amelyekre elküldi magát. A kiküldött levelek címsora véletlenszerűen kiválasztott, tartalma a számítógépen található állományokból készülhet. A levelek mellékletként tartalmazzák a vírust. A melléklet hossza 72192 bájt, neve szintén véletlenszerűen kiválasztott egy listából, kiterjesztése pedig .EXE, .PIF vagy .SCR. A levelek az Outlook ismert biztonsági hibáját használják ki, így a vírus a melléklet szándékos elindítása nélkül, csak a levél elolvasásakor is aktivizálódhat.

A vírus a számítógépen található Windows EXE programok közül megfertőzi azokat, amelyeknek a neve az alábbi listában szerepel:

  • hh.exe
  • mplayer.exe
  • notepad.exe
  • regedit.exe
  • scandskw.exe
  • winhelp.exe
  • ACDSee32ACDSee32.exe
  • AdobeAcrobat 4.0ReaderAcroRd32.exe
  • adobeacrobat5.0readeracrord32.exe
  • AIM95aim.exe
  • CuteFTPcutftp32.exe
  • DAPDAP.exe
  • FarFar.exe
  • ICQIcq.exe
  • Internet Exploreriexplore.exe
  • kazaakazaa.exe
  • LavasoftAd-aware 6Ad-aware.exe
  • MSN Messengermsnmsgr.exe
  • Outlook Expressmsimn.exe
  • QuickTimeQuickTimePlayer.exe
  • RealRealPlayerrealplay.exe
  • StreamCastMorpheusMorpheus.exe
  • TrillianTrillian.exe
  • Winampwinamp.exe
  • Windows Media Playermplayer2.exe
  • WinRARWinRAR.exe
  • winzipwinzip32.exe
  • WS_FTPWS_FTP95.exe
  • Zone LabsZoneAlarmZoneAlarm.exe

A felsorolt programokat a Windows könyvtárban, vagy a Program Files könyvtárban keresi. A vírus eltávolítása a létrehozott állományok törlésével, illetve a fertőzött állományok törlésével és újratelepítésével lehetséges.

A HackerRank 2020-as, 116.000 fejlesztő válaszaiból készült kutatása szerint a legtöbbjük a Go-t szeretné megtanulni következőleg, amely eredménynek az okait most ebben a cikkben szedtük össze.

a címlapról