Archivio » 2003 » marzo » martedì 25 »

Il worm Bugbear continua a provocare danni

Scritto da Maurizio Bergami

Non accenna a scemare la minaccia rappresentata da Bugbear, noto anche come Natosta o Tanatos, un worm che si propaga tramite le cartelle di rete condivise e via e-mail. Scritto in linguaggio Ms-Visual C++ 6, Bugbear attacca sistemi Windows e si presenta come una e-mail con subject non costante, contenente un allegato di 50.664 byte compressi e 154.112 byte non compressi.

La sua azione è multipla. L’installazione - subordinata all’apertura ed esecuzione dell’allegato (che può essere automatica per l’errata gestione di alcuni tipi Mime da parte di client di posta quali Outlook 5.0 o 5.5 non corretti con patch) - fa sì che il worm si copi nella cartella di sistema di Windows con un nome di quattro lettere generato casualmente ed inserisca due chiavi nel registro di sistema per l’esecuzione automatica ad ogni accensione della macchina.

Una volta installatosi nel sistema, il worm ha quattro effetti: è un mass-mailer per provvedere alla replicazione; infetta le risorse di rete condivise; esegue un server per backdoor sul socket 36794 della macchina target; provvede alla disattivazione di processi relativi a scanner antivirus. Un keylogger, infine, provvede alla registrazione di azioni immesse da tastiera, agendo - tra l’altro - come ruba-password stealer.

Su Bugbear la documentazione fornita dai produttori di antivirus è abbondante [1, 2], coprendo anche la rimozione manuale ed automatica del worm.