Bugbear steelt passwords en hackt creditcards

Gebruikers Internet Explorer 5.01 en 5.5 lopen risico

01 oktober 2002 | Jeff Ronge Bugbear is een mix van een wormvirus en een Trojan horse die probeert je passwords en creditcardgegevens te stelen. Het virus (w32.bugbear@mm) is ook bekend onder de naam Tanatos, is ongeveer 50 kb groot en verpakt met de UPX filecompressor.

De systemen van Internet Explorer 5.01- en 5.5-gebruikers lopen risico per e-mail besmet te raken, als de browser niet gepatched is om de zogeheten Incorrect Mime header-bug te verhelpen. De patches voor de verschillende browserversies vindt je onder dit artikel.

Alle Windows-versies zijn kwetsbaar voor de worm, die zich behalve per e-mail ook door open file sharing kan verspreiden. Gebruikers van Macintosh, Unix of Linux lopen geen risico.

Bugbear komt per e-mail binnen zonder opvallende kenmerken, behalve dan dat het attachment altijd 50,688 bytes groot is. Het onderwerp en de tekst van het bericht kunnen afkomstig zijn van bestaande e-mails. Daarnaast kan het virus binnenkomen als de computer zich in een netwerk bevindt waarin bestanden worden gedeeld.

Eenmaal geactiveerd nestelt Bugbear zich in de System-subdirectory van de Windows-map met een bestandsnaam van vier willekeurige letters, gevolgd door .exe (bijvoorbeeld C:\Windows\System\zayb.exe). Daarnaast verandert de worm de Registry zodat het virus elke keer als Windows opstart wordt geactiveerd. Tenslotte voegt het zichzelf toe aan de Startup-folder, in de vorm van drie willekeurige letters gevolgd door .exe (bijvoorbeeld, Startup\zay.exe).

Het Trojan Horse-gedeelte van het virus probeert (en is in staat) veel populaire firewalls en antivirusprogramma's uit te schakelen, om daarna een keystroke logging-applicatie op te starten waarvan de bestandsnaam bestaat uit een variabel aantal willekeurige letters, gevolg door .dll (bijvoorbeeld avbfngmf.dll). Keystroke logging-applicaties onthouden de toetsen die een gebruiker heeft aangeslagen wanneer deze zijn login-informatie invoert of een aankoop doet met behulp van een creditcard. Deze data worden opgeslagen in bestanden die kwaadwillenden vervolgens op afstand kunnen lezen. De Trojan opent port 36794.

Gebruikers van Internet Explorer 6 zouden beschermd moeten zijn tegen het e-mailgedeelte van de worm. Gebruikers van IE 5.01 of 5.5 kunnen zich beschermen door de Infected Mime header-patch te installeren, waarvoor Microsoft al eerder waarschuwde. Wanneer het niet absoluut nodig is bestanden te delen via een netwerk, verdient het aanbeveling de 'file sharing'-functie in Windows uit te schakelen.

Een aantal antivirus-softwareleveranciers heeft zijn virusdefinities al aangepast. Hierdoor wordt de infectie geweerd en is een verse infectie in sommige gevallen van het systeem te verwijderen. Voor aanvullende informatie kun je ook op de links onderaan dit artikel klikken. Lees meer artikels over : bugbear, tanatos, trojan, wormvirus

bron: ZDNet