Si alguien tiene Snort.
Código:
lert tcp $HOME_NET any -> $EXTERNAL_NET 36794 (msg:"BugBear Virus"; flags: PA; content: ".exe"; nocase;
classtype:misc-activity ;)
alert tcp $HOME_NET any -> $EXTERNAL_NET 36794 (msg:"BugBear Virus"; flags: PA; content: ".pif"; nocase;
classtype:misc-activity ;)
alert tcp $HOME_NET any -> $EXTERNAL_NET 36794 (msg:"BugBear Virus"; flags: PA; content: ".scr"; nocase;
classtype:misc-activity ;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 36794 (msg:"BugBear Virus"; content: ".pif"; nocase; classtype:misc-activity ;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 36794 (msg:"BugBear Virus"; content: ".exe"; nocase; classtype:misc-activity ;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 36794 (msg:"BugBear Virus"; content: ".scr"; nocase; classtype:misc-activity ;)
Bueno, yo tengo mi antivirus actualizado desde esta mañana. de cualquier forma un par de notas para que averigues algo:
En sistemas Windows 9x el gusano aparece en la carpeta:
C:\WINDOWS\Start Menu\Programs\Startup\
En sistemas Windows NT, Windows 2000 y Windows XP la carpeta empleada depende del usuario que inicio la infección:
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\
En el ejemplo anterior, el componente \Administrador\ de la ruta se debe a la ejecución del gusano mediante la cuenta de administrador del sistema. Este componente varia en función del nombre del usuario.
Una copia adicional del gusano va a parar a la carpeta temporal de Windows. El nombre empleado para esta copia comienza por los caracteres “vba” seguido por un grupo aleatorio de caracteres alfanuméricos más la extensión “.TMP”. Bugbear.b ejecuta esta copia como servicio, por lo que no aparece visible en lista de tareas de Windows 9x.
Bugbear.b crea otros 3 ficheros en la carpeta del sistema del equipo afectado, entre los que encontramos una librería (gpflmvo.dll) destinada a guardar registro de las pulsaciones de teclas en el sistema (keylogger).
gpflmvo.dll
zpknpzk.dll
shtchs.dll
Finalmente, se crea un fichero de nombre aleatorio y extensión .dat en la carpeta de Windows. Este fichero contiene datos internos del gusano necesarios para llevar acabo sus funciones de propagación.
Bugbear.b emplea su propio motor SMTP para enviar correos, sin utilizar la librería de correo MAPI de Windows, tal y como hemos visto en otros gusanos. El gusano extrae del registro la información correspondiente al servidor de correo empleado por el usuario infectado, y emplea este servidor para su propagación. De esta manera se garantiza en cierta manera la posibilidad de enviar correo sin que el servidor deba aceptar su utilización como pasarela.
Las direcciones de correo que el gusano empleara como destinatarios se extraen de los propios mensajes contenidos en la carpeta de entrada del usuario infectado. Para ello el virus analiza los ficheros con las siguientes extensiones:
.dbx
.eml
.mbx
.mmf
.nch
.ocs
.tbb
El gusano es capaz de contestar a los mensajes que encuentra, así como reenviarlos. En algunos casos se crea un mensaje completamente nuevo. El tema elegido (subject) se selecciona de manera aleatoria entre luna larga lista de subjets:
$150 FREE Bonus!
Announcement
bad news
CALL FOR INFORMATION!
Correction of errors
click on this!
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Greets!
Hello!
Hi!
history screen
hmm..
Introduction
Interesting...
I need help about script!!!
its easy
Just a reminder
Membership Confirmation
new reading
New bonus in your cash account
Get a FREE gift!
Today Only
New Contests
Lost & Found
Market Update Report
News
My eBay ads
Cows
25 merchants and rising
Payment notices
Please Help...
Re:
Report
Sponsors needed
SCAM alert!!!
Stats
Tools For Your Online Business
update
various
Warning!
wow!
Your Gift
Your News Alert
El gusano envía su código adjunto al mensaje. El fichero empleado presenta un nombre seleccionado de varias maneras posibles:
* Empleando simplemente el nombre “setup.exe”.
* Seleccionando de manera aleatoria un nombre de la siguiente lista:
Readme
Setup
Card
Docs
News
Image
Images
Pics
Resume
Photo
Video
Music
Song
Data
* El gusano busca ficheros con extensión .BMP, .BAT, .COM, .CPL, .DIZ, .DLL, .DOC, .GIF, .HTM, .HTML, .INI, .JPG, .JPEG, .RTF, .REG, .SYS, .TXT, .VXD, y toma el nombre de aquellos que encuentra, añadiendo una extensión seleccionada de manera aleatoria de la siguiente lista:
.SCR
.PIF
.EXE
Bugbear.b emplea los siguientes modos de inclusión en el mensaje:
Content-Type: application/octect-stream
Content-Type: image/gif
Content-Type: image/jpeg
Content-Type: text/html
Content-Type: text/plain
Finalmente, el gusano añade, en algunos casos, una característica especial al mensaje, con el fin de explotar una vulnerabilidad en Outlook Express. Esta vulnerabilidad permite que el fichero adjunto a un mensaje de correo electrónico se ejecute automáticamente al ser visualizado.
Infección de ejecutables de Windows
El gusano infecta aplicaciones de Windows (Ficheros .EXE con formato PE) incorporando las diferentes secciones del su propio ejecutable al fichero afectado. Una vez añadido el código, el gusano realiza modificaciones en la cabecera PE, así como los directorios de datos IMPORT y BASERELOC, con el fin de garantizar su ejecución al ejecutarse el programa anfitrión.
Durante la infección de estos ejecutables, el gusano emplea un nivel adicional de cifrado sobre la compresión UPX. Este cifrado presenta cierta variabilidad, generada a través de un pequeño motor de mutación (polimorfismo).
Infección en redes de área local
Bugbear.b presenta código destinado a facilitar su propagación a través de una red de área local. La idea detrás de ello es simple, pero a la vez potente:
* El gusano llega por correo electrónico a un usuario de una red. De esta manera el gusano penetra en la red de la compañía.
* Una vez infecta a un usuario, Bugbear.b procede a propagarse entre los diferentes sistemas Windows que encuentra. Esto le resulta en cierta manera sencillo, pues los equipos situados dentro de la red corporativa a menudo presentan un nivel de seguridad deficiente.
La enumeración de los recursos de red a partir de un sistema infectado permite a Bugbear.b localizar otros equipos en la LAN. Estos equipos presentan unidades compartidas a las que el gusano accede para infectar los ficheros ejecutables de Windows.
Si la unidad compartida corresponde al árbol de directorios del sistema, Bugbear.b localiza la carpeta de inicio, tal y como hacia durante la infección local. El gusano deja allí un ejecutable con nombre aleatorio (dropper) que garantizará la infección del sistema remoto durante el próximo inicio de sesión.
Esto nos muestra la necesidad de mantener un nivel de seguridad óptimo a todos los niveles, evitando el libre acceso a recursos compartidos y, especialmente, a recursos que dan acceso a la estructura total de directorios del sistema.
Puerta trasera
Bugbear.b crea un “socket” en escucha en el puerto 1080. A través de este puerto, un intruso puede enviar órdenes al gusano, que le permitirían:
* Obtener información acerca del contenido del disco del sistema afectado.
* Copiar, mover y borrar ficheros en dichos volúmenes.
* Terminar la ejecución de una aplicación.
* Obtener información acerca de las aplicaciones ejecutándose en el sistema.
* Descargar ficheros al sistema y ejecutarlos.
* Ejecutar cualquier aplicación.
* Activar el servicio HTTP.
* Guardar las pulsaciones de teclas en el sistema (keylogger) y facilitar esta información al intruso.
Contramedidas
Bugbear.b pone en practica ciertas contramedidas (retrovirus) destinadas a desactivar las posibles protecciones que puedan encontrarse instaladas en el sistema. La siguiente lista recoge los nombres de las aplicaciones que Bugbear.b tratará de finalizar:
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
Con Snort puedes detectar también creando reglas basadas en los subjets.
!!! Ahora funcionó el Live-Update...
