Attenzione alla nuova versione di BUGBEAR (l'orsetto bacato)

arriva tramite e-mail o condivisioni di rete, l'aspetto del messaggio e' come proveniente da persona conosciuta, anche il testo e' in italiano (presumibilmente prende messaggi gia' mandati e li riinvia)

allegato da cliccare per eseguire il virus, non sembra utilizzare vulnerabilita' di outlook express & simili

correzione!!! sfrutta la classica vulnerabilita' IFRAME di outlook (express) se non patchato...

per ora riconosciuto da Sophos antivirus, non so altri (segnalazione delle 12:20) :muro: :muro:

www.sophos.com per informazioni

qualche informazione piu' strutturata:

- infezione tramite e-mail e condivisioni di rete
- si maschera inviandosi come risposta ad un altro messaggio o creandone uno nuovo
- installa una backdoor sulla porta 1080
- infetta diversi programmi tipo acrobat reader, regedit ecc..
- virus polimorfico
- installa un keylogger
- disabilita i piu' comuni antivirus
- sfrutta una vulnerabilita' gia' segnalata di outlook express
- non e' molto intelligente e scambia le stampanti condivise in rete come altri pc e quindi stampa schifezze o interrompe il funzionamento della stessa

E' classificato come alta diffusione ma basso rischio (anche se non sono cosi' d'accordo visto che la backdoor permette di fare TANTE cose, fra le quali PIALLARE il disco)

Grazie della segnalazione, Hell-VoyAgeR, la inserisco nel thread in rilievo http://forum.hwupgrade.it/viewtopic.php?t=306294. ;)

figurati, grazie a te... e' una battaglia difficile

il mio antivirus sul server smtp me ne sta segnalando A RAFFICA

tipo 5 o 6 virus AL MINUTO! AIUTO!!!! :mc:

Ho appena aggiornato il mio Pc-cillin ultimo file pattern n°557.


Grazie x l'avviso ;)

Io oggi non ho ricevuto posta O_O
Cmq ho letto di 'sta nuova, ehm, release (:D) su repubblica.it! A quanto pare se si è patchati si è al sicuro, no? Vabbe', io mica uso outlook, e agli amici che (purtroppo) lo usano segnalerò la cosa!
Cmq non se ne può più, abbasso outlook!
Un applauso a quello che c'ha la firma sul disinstallare outlook come miglior antivirus(mo' non mi ricordo il nickname^^)

sulla mail di lavoro mi son arrivate 7-8 mail con scr exe ecc in allegato , il corpo delle mail sembrano pezzi di documenti, scansionato i files e opla il bugbear B è già qua :eek:

Infatti come già accenato da Bilancino ne parla anche il televideo Rai a pag 165

Grazie, info molto preziose ;)

10 pc infettati al lavoro,: bisognerebbe tagliare le ditina a questi utenti...arriva la mail neanche la leggono e la prima cosa che fanno è doppio click sull'allegato... :mc:

AVG ho visto che lo riconosce.

Questo il messagio che mi è arrivato stamattina dal presidio sistemi informativi dell'azienda dove lavoro per avvisarci del bugbear:

Da ieri pomeriggio è in circolazione un nuovo virus con le seguenti caratteristiche:
W32.Bugbear.B@mm è un mass-mailing worm (cioè una minaccia che si distribuisce su vasta scala tramite posta elettronica). E' anche in grado di propagarsi su condivisioni di rete; Il Worm è polimorfico ed è anche in grado di infettare una lista di file eseguibili selezionati. Esso memorizza ciò che viene digitato tramite tastiera; ha funzionalità di backdoor (vale a dire: consente il controllo remoto del computer da parte di terzi) cerca di interrompere i processi di numerosi programmi antivirus e firewall.
Il nostro antivirus installato sui server di posta è in grado di bloccare questo virus nelle mail.
Invece l'antivirus installato sui pc fino ad ieri non era ancora aggiornato e quindi non lo rilevava .
Se ci sono particolari malfunzionamenti sui PC segnalatelo ad HELP DESK, è comunque in distribuzione (automatica) l'aggiornamento dell' antivirus.

Ma possibile che non ci sia un modo per bloccare/eliminare tutti gli allegati pif, scr, exe in automatico,
proprio per evitare che i soliti furbacchioni ci clicchino sopra alla velocità della luce ?

"guu... che bello un'allegato, io cliccare, vedere bello scrinseiver"

scusate, credo di essere incappato in questo tipo di virus... erroneamente ho aperto un thread in disc.generiche, giustamente chiusa dal mod. :D
Alor, ho ricevuto un'email che al 99% conteneva come allegato sto nuovo virus che ultimamente sta facendo strage anche in italia(W32/BugBear.B);
my question is:
. la mia posta la gestisco direttamente su libero.it quindi non uso programmi di posta(outlook ecc.);
. molto ma molto ingenuamente ho aperto l'allegato, però senza salvarlo sul mio disco e cioè, cliccandoci sopra, mi si è aperta la classica finestra che chiede se aprire l'allegato o salvarlo prima su disco.. bene, io l'ho solo aperto ma non è successo nulla...
ho notato, tramite ZoneAlarm, che è spuntato dal nulla un exe EISF.exe che cercava di fare da server sulla mia postazione.... l'ho bloccato...
infatti mi era partito il pgm di spooler (questo in rif.. alle vs. segnalazioni secondo le quali vede le stampanti come altri pc)

Originally posted by "elfoscuro"

Ma possibile che non ci sia un modo per bloccare/eliminare tutti gli allegati pif, scr, exe in automatico,
proprio per evitare che i soliti furbacchioni ci clicchino sopra alla velocità della luce ?

"guu... che bello un'allegato, io cliccare, vedere bello scrinseiver"

si esiste... ma... (e ti pareva se non c'era un "ma"?) :D

1. richiede sbattimento da parte dei sysadm (e che li pagano a fare?)
2. costa e neanche poco
3. se costa e richiede sbattimento, perche' darlo gratis agli utenti?

:mc: credo di essermi parzialmente spiegato :)

Originally posted by "Lover"

scusate, credo di essere incappato in questo tipo di virus... erroneamente ho aperto un thread in disc.generiche, giustamente chiusa dal mod. :D
Alor, ho ricevuto un'email che al 99% conteneva come allegato sto nuovo virus che ultimamente sta facendo strage anche in italia(W32/BugBear.B);
my question is:
. la mia posta la gestisco direttamente su libero.it quindi non uso programmi di posta(outlook ecc.);
. molto ma molto ingenuamente ho aperto l'allegato, però senza salvarlo sul mio disco e cioè, cliccandoci sopra, mi si è aperta la classica finestra che chiede se aprire l'allegato o salvarlo prima su disco.. bene, io l'ho solo aperto ma non è successo nulla...
ho notato, tramite ZoneAlarm, che è spuntato dal nulla un exe EISF.exe che cercava di fare da server sulla mia postazione.... l'ho bloccato...
infatti mi era partito il pgm di spooler (questo in rif.. alle vs. segnalazioni secondo le quali vede le stampanti come altri pc)

e' lui... DAGLI ALL'UNTORE!!! scherzi a parte, armati e ripulisci PCSTT (Prima Che Sia Troppo Tardi) :D

Lo sto esaminando or ora... ma pare che ci sia gia' una versione di BugBear/B mutata (e' un virus polimorfico)

Rinnovo l'urgenza di stare MOLTO attenti agli allegati, anche se provenienti da persone conosciute.

quando un dubbio diventa realta'...

infatti ci sono alcune versioni in giro generate dal motore polimorfico che sono diverse dall'originale

fortunatamente queste versioni sembrano non funzionanti

in ogni caso sophos ha gia' rilasciato un file di definizione per riconoscerle e identificarle come bugbear-dam

altri antivirus potrebbero riconoscerle gia'

e' una DURA guerra...

Originally posted by "Hell-VoyAgeR"


:mc: credo di essermi parzialmente spiegato :)

purtroppo sì ;)

Vediamo....
... e se la nostra MITTICCA http://forum.hwupgrade.it/faccine/5.gif Microsoft
avesse messo la funzioncina in outlook express oppure potenziando le regole es se il messaggio contiene allegati *.pif,exe, allora inoltra al cestino ??
Daltr'onde avevano avuto la geniale idea di impedire l'apertura di TUTTI gli allegati in una versione di oe (funzione disattivabile ovviamente)

Originally posted by "elfoscuro"



purtroppo sì ;)

Vediamo....
... e se la nostra MITTICCA http://forum.hwupgrade.it/faccine/5.gif Microsoft
avesse messo la funzioncina in outlook express oppure potenziando le regole es se il messaggio contiene allegati *.pif,exe, allora inoltra al cestino ??
Daltr'onde avevano avuto la geniale idea di impedire l'apertura di TUTTI gli allegati in una versione di oe (funzione disattivabile ovviamente)

beh ci sarebbe comunque qualcuno che si lamenta perche' non puo' ricevere allegati eseguibili, quindi la funzione sarebbe resa disabilitabile... o disabilitata di default...

credo che il buonsenso non possa essere sostituito da nessun programma...
...ma forse da un CERTO sistema operativo antartico si ... :D :sofico:

Ragazzi, ho fatto girare una "pezza" rilasciata dalla symantec, e ora sto facendo fare l'autopsia al mio sistema (nonostante non sia morto) dall'antivirus della Sophos.... spero che tutto stò tempo che ho perso mi dia dei risultati....
(la pezza di cui sopra si può scaricare da http://securityresponse.symantec.com/avcenter/FixBugb.exe)
la cosa che più mi snerva è che ho aperto l'allegato nonostante l'evidente stranezza dello stesso...cioè si vede lontano un miglio che trattasi di virus... purtroppo a smanettare troppo, il mouse agisce prima della razionalità!
come si fà ad aprire un documento con estensione doc.exe.scr??? :muro:

questa è la foto di una mail infetata che mi è appena arrivata:

Mentre rientravo al lavoro in macchina alle 15 ne hanno parlato addirittura alla radio di Stato! Al radiogiornale di Radio 1 hanno descritto il virus e come finale di notizia hanno raccomandato di utilizzare un antivirus aggiornato "come quelli che si trovano in rete sui siti www.mcafee.com e www.symantec.com" :eek: Ma come? Si può fare pubblicità così esplicita alla radio di Stato per dei prodotti che non sono per niente free?

aggiornato il NAV e fino ad ora tutto tranquillo, incrocio le dita!

come lo patcho outlook express?

ho la versione 6 fornita con winxp.
grazie

Originally posted by "Huzzz"

come lo patcho outlook express?

ho la versione 6 fornita con winxp.
grazie

La versione 6 di OE non ha bisogno di patch (ovviamente mi riferisco a questa situazione), quelle che devono essere patchate sono la 5.0 e la 5.5

Marco(amvinfe)

Guardate che io ho la versione 6 SP1 di Outlook expres e i verme me lo sono buscato lo stesso :muro:

Cosa vuole dire, che non può aprire backdoor o mandare mail infette in giro?

LvP

Originally posted by "Lud von Pipper"

Guardate che io ho la versione 6 SP1 di Outlook expres e i verme me lo sono buscato lo stesso :muro:

Cosa vuole dire, che non può aprire backdoor o mandare mail infette in giro?

LvP
Non ho scritto che con la v.6 di OE uno può dormire sogni tranquilli, ma semplicemente che le versioni precedenti vanno patchate, va da se che vanno patchate anche le stesse v. di IE, tu ti sei infettato perchè hai aperto l'allegato, ed il tuo allegato aveva con molta probabilità doppia estensione, dove la seconda estensione era .exe o .pif o .scr Le mail con doppia estensione (parliamo sempre di Bugbear) sono sintomo di mail arrivate da un Pc infetto, infatti la prima estensione ad es. .jpg o .gif o .doc o .txt........ è un file preso a caso dal disco della macchina infetta, a questo file si aggiunge il worm con un file con un'estensione di quelle che ho sopra descritto.
Cosa vuol dire ha capacità di Backdoor?
Il worm se eseguito installa una Backdoor (porta 1080) questo per avere da remoto il controllo della stessa, ma fa di più l'Orso bacato, ha caratteristiche di Keylogger, tutto quello che digiti sulla tastiera viene "conservato" in un file (in System, o System32 a seconda del S.O) .dll o .dat ed ecco che entra in moto la Backdoor per avere il controllo da remoto della macchina infetta.
Cosa vuol dire può mandare mail infette?
Semplice, durante il periodo d'infezione il worm manda con il tuo account mail infette ai contatti in rubrica inoltre cerca nomi nei files con estensione
.ODS
.MMF
.NCH
.MBX
.EML
.TBB
.DBX
INBOX
sempre e comunque le mail avranno (nel caso di mail spedite da macchine infette) doppia estensione.
Spero d'essere stato esaustivo, diversamente chiedi delucidazioni nel Forum.
Marco(amvinfe)
ah dimenticavo, spero d'avere risposto anche ad alcune domande poste nell'altra tua discussione.
Un saluto

Ti ringrazio per la risposta.

Un ultima cosa: se la versione di Outlook express non fosse aggiornata alla 6.0, la mail infetterebbe automaticamente il PC?

Nel caso dovessi suggerire un rimedio a chi non si sia ancora connesso ma ha in casella il Bugbear, se si cercasse di accedere alla casella direttamente dal provider (es. la home page di Libero) per cancellare le mail infette, si rischia qualcosa?

(sai com'è, provare a spiegare come upgradare Outlook Express a qualcuno che il Pc lo usa come macchina da scrivere non è esattamente semplice... :rolleyes: )

Se non si ha l'antivirus aggiornato il virus si prende a prescindere dalla versione di outlook installata.

Andate a leggere pag 165 del televideo Rai,in Italia sono a rischio 65 banche.

Hanno scoperto all'interno del virus una stringa che conteneva 500 nomi di domini di Banche sparse in tutto il mondo.

:cry: :cry: :cry:
tutta la mattina passata a ripulire PC
:cry: quello infetto era proprio quello dell'amministratore di rete!!! :)

Il computer sembra pulito per ora, sia per Antivir Guardian che per la "Pezza" della Norton, quindi presumo che i files siano tutti in ordine
Ogni tanto però l'antivirus mi avvisa di aver trovato un file backup (o qualcosa di simile) contenente il worm, che io prontamente faccio cancellare.

però, dopo un po', (qualche ora) il messaggio ricompare...

che diavolo devo fare ora? :muro: :muro: :muro:

LvP

Originally posted by "Lud von Pipper"

Ti ringrazio per la risposta.

Un ultima cosa: se la versione di Outlook express non fosse aggiornata alla 6.0, la mail infetterebbe automaticamente il PC?

Nel caso dovessi suggerire un rimedio a chi non si sia ancora connesso ma ha in casella il Bugbear, se si cercasse di accedere alla casella direttamente dal provider (es. la home page di Libero) per cancellare le mail infette, si rischia qualcosa?

(sai com'è, provare a spiegare come upgradare Outlook Express a qualcuno che il Pc lo usa come macchina da scrivere non è esattamente semplice... :rolleyes: )
Ci s'infetta solo se apriamo l'allegato, per le versioni 5 e 5.5 il rischio è maggiore dovuto ad un bug in Incorrect MIME Header Can Cause IE to Execute E-mail Attachment, rischio che non c'è se la versione è stata patchata.


Generalmente i Provider (quelli seri almeno) puliscono le mail infette alla fonte, quindi sicuramente troveresti la mail, ma non l'allegato infetto nella homepage, e comunque non corri rischi se guardi le mail direttamente dalla pagina internet.

Aggiornare IE e/o OE è semplicissimo, basta andare in strumenti di IE e cliccare su Windows Update. Poi il resto è intuitivo, almeno spero...

Marco(amvinfe)

buonasera a tutti......
alle 21 di oggi mi arriva un e-mail.......il norton la scansiona e non trova nulla di sospetto.....
a me invece il dubbio sorge perche' nella e-mail stavano scritte cose strane......
per cui aspetto l'aggiornamento dell'antivirus e faccio la scansione dell'allegato.........era un virus!!!!!!!!
il mio dubbio e' .........se l'ho solo salvato l'allegato contenente il virus non ho creato danni?
ciao.....

In teoria se hai solo salvato l'allegato senza aprirlo non dovresti avere problemi,comunque aggiorna l'antivirus e fai una bella scansione totale

Originally posted by "ercolino"

In teoria se hai solo salvato l'allegato senza aprirlo non dovresti avere problemi,comunque aggiorna l'antivirus e fai una bella scansione totale

Fidarsi è bene, non fidasrsi è meglio ;)

Dopo avere liberato il PC dal Bugbear, continua a comparirmi l'avviso di Virus presente all'interno di una fantomatica cartella C:\SYSTEM VOLUME INFORMATION\_RESTORE(0AE46927-40BE-4ABE-8559-5495C43E9774)\RP89\A0023223.EXE alla quale non riesco ad accedere (neppure come Amministratore) perchè il sistema mi blocca: faccio rimuovere il file infetto dall'antivirus e dopo qualche ora l'allarme ricompare e il file è tornato...

La cosa curiosa è che se facciouna normale scansione gli antivirus non lo rilevano :muro: :muro: :muro:

Ma da dove diavolo continua a scappare fuori il f@ttutissimo Bugbear (possano le sue emorroidi essere tante e le sue adenoidi fastidiose) ?!?

:cry: :cry: :cry:

Originally posted by "Lud von Pipper"

Dopo avere liberato il PC dal Bugbear, continua a comparirmi l'avviso di Virus presente all'interno di una fantomatica cartella C:\SYSTEM VOLUME INFORMATION\_RESTORE(0AE46927-40BE-4ABE-8559-5495C43E9774)\RP89\A0023223.EXE alla quale non riesco ad accedere (neppure come Amministratore) perchè il sistema mi blocca: faccio rimuovere il file infetto dall'antivirus e dopo qualche ora l'allarme ricompare e il file è tornato...

La cosa curiosa è che se facciouna normale scansione gli antivirus non lo rilevano :muro: :muro: :muro:

Ma da dove diavolo continua a scappare fuori il f@ttutissimo Bugbear (possano le sue emorroidi essere tante e le sue adenoidi fastidiose) ?!?

:cry: :cry: :cry:
Provato a disabilitare il System Restore ;) ? Diversamente avrai sempre questo avviso :D

http://digilander.libero.it/andreaing/images/system_restore_xp.jpg
immagine di proprietà sicurezzainrete.com[/siz]


Marco(amvinfe)

Originally posted by "elfoscuro"

Ma possibile che non ci sia un modo per bloccare/eliminare tutti gli allegati pif, scr, exe in automatico,
proprio per evitare che i soliti furbacchioni ci clicchino sopra alla velocità della luce ?

"guu... che bello un'allegato, io cliccare, vedere bello scrinseiver"

Certo che c'è un modo.....passare a Linux!! ;) :p

Originally posted by "amvinfe"


Provato a disabilitare il System Restore ;) ? Diversamente avrai sempre questo avviso :D Marco(amvinfe)

GRAZIE!!!


certo che sto Bugbear è proprio Str@nzo!!!!!!! :mad: :mad: :mad:

A partire da quel trucchetto degli iframe, ho fatto due versioni differenti -SOLO A SCOPO DI PROVE- di un worm (solo uno autopropagante, l'altro no) che sfruttano l'uno i layer e l'altro l'iframe inline di actionscript attraverso un movie flash... una piccola chicca che mi era venuta in mente per caso :D
Secondo voi dovrei segnalare a ms questa possibilità prima che qualcun altro abbia un'intuizione simile e faccia danno o..no?

Originally posted by "Dr. Death"

A partire da quel trucchetto degli iframe, ho fatto due versioni differenti -SOLO A SCOPO DI PROVE- di un worm (solo uno autopropagante, l'altro no) che sfruttano l'uno i layer e l'altro l'iframe inline di actionscript attraverso un movie flash... una piccola chicca che mi era venuta in mente per caso :D
Secondo voi dovrei segnalare a ms questa possibilità prima che qualcun altro abbia un'intuizione simile e faccia danno o..no?

Forse è meglio mandarlo alla Symantec, così ci pensano loro a fare notare la cosa alla M$: in ogni caso, specifica bene il tuo intento o rischi di ritrovarti i carabinieri a casa con l'accusa di terorismo informatico (si sa che alla microsof non son particolarmente svegli sull'argomento, tranne quando partono con gli avvocati :rolleyes: )

LvP

Ciao, ho sconfitto (spero) ieri il malefico BugBear ma le mail infette continuano ad arrivarmi! :cry:
Come posso fare? oltretutto non riesco a attivare il norton nel controllo delle mail, se lo attivo non mi permette di scaricare la posta (sarà qualche impostazione sbagliata o un conflitto con il firewall?).
Se continuano ad arrivarmi queste malefiche mail, fatte benissimo per fregarmi oltretutto, basta che non le apra per evitare un nuovo contagio?
Grazie dell'ennesimo aiuto e scusate per avervi posto domande magari già fatte :)

Attenzione il virus può arrivare anche da un messaggio che ti dice assicurazione on line indirizzo di sicuro falso info@sanpaoloimi.com

Mi è appena arrivato ma il servizio di posta di Alice mi ha avvisato ed ha eliminato il virus bugbear

scusate ma questo vermaccio non si diffonde solo via e-mail?

Ho appena subito un attacco multiplo ( a 9 .exe) prontamente bloccato dal fido Trend Micro OfficeScan Win95 senza scaricare posta :confused:

Originally posted by "redheart"

scusate ma questo vermaccio non si diffonde solo via e-mail?

Ho appena subito un attacco multiplo ( a 9 .exe) prontamente bloccato dal fido Trend Micro OfficeScan Win95 senza scaricare posta :confused:ehm sfrutta anche il componente email integrato di messenger :D