Alzare le difese: Bugbear/B

[Hell-VoyAgeR]

Attenzione alla nuova versione di BUGBEAR (l'orsetto bacato)

arriva tramite e-mail o condivisioni di rete, l'aspetto del messaggio e' come proveniente da persona conosciuta, anche il testo e' in italiano (presumibilmente prende messaggi gia' mandati e li riinvia)

allegato da cliccare per eseguire il virus, non sembra utilizzare vulnerabilita' di outlook express & simili

correzione!!! sfrutta la classica vulnerabilita' IFRAME di outlook (express) se non patchato...

per ora riconosciuto da Sophos antivirus, non so altri (segnalazione delle 12:20)

www.sophos.com per informazioni

[Hell-VoyAgeR]

qualche informazione piu' strutturata:

- infezione tramite e-mail e condivisioni di rete
- si maschera inviandosi come risposta ad un altro messaggio o creandone uno nuovo
- installa una backdoor sulla porta 1080
- infetta diversi programmi tipo acrobat reader, regedit ecc..
- virus polimorfico
- installa un keylogger
- disabilita i piu' comuni antivirus
- sfrutta una vulnerabilita' gia' segnalata di outlook express
- non e' molto intelligente e scambia le stampanti condivise in rete come altri pc e quindi stampa schifezze o interrompe il funzionamento della stessa

E' classificato come alta diffusione ma basso rischio (anche se non sono cosi' d'accordo visto che la backdoor permette di fare TANTE cose, fra le quali PIALLARE il disco)

[Pola]

Grazie della segnalazione, Hell-VoyAgeR, la inserisco nel thread in rilievo http://forum.hwupgrade.it/viewtopic.php?t=306294.

[Hell-VoyAgeR]

figurati, grazie a te... e' una battaglia difficile

il mio antivirus sul server smtp me ne sta segnalando A RAFFICA

tipo 5 o 6 virus AL MINUTO! AIUTO!!!!

[ercolino]

Ho appena aggiornato il mio Pc-cillin ultimo file pattern n°557.


Grazie x l'avviso

[Miciomiao]

Io oggi non ho ricevuto posta O_O
Cmq ho letto di 'sta nuova, ehm, release () su repubblica.it! A quanto pare se si è patchati si è al sicuro, no? Vabbe', io mica uso outlook, e agli amici che (purtroppo) lo usano segnalerò la cosa!
Cmq non se ne può più, abbasso outlook!
Un applauso a quello che c'ha la firma sul disinstallare outlook come miglior antivirus(mo' non mi ricordo il nickname^^)

[Korn]

sulla mail di lavoro mi son arrivate 7-8 mail con scr exe ecc in allegato , il corpo delle mail sembrano pezzi di documenti, scansionato i files e opla il bugbear B è già qua

[ercolino]

Infatti come già accenato da Bilancino ne parla anche il televideo Rai a pag 165

[exploit]

Grazie, info molto preziose

[Nemo 74]

10 pc infettati al lavoro,: bisognerebbe tagliare le ditina a questi utenti...arriva la mail neanche la leggono e la prima cosa che fanno è doppio click sull'allegato...

[Maurizio XP]

AVG ho visto che lo riconosce.

[mirage12345]

Questo il messagio che mi è arrivato stamattina dal presidio sistemi informativi dell'azienda dove lavoro per avvisarci del bugbear:

Da ieri pomeriggio è in circolazione un nuovo virus con le seguenti caratteristiche:
W32.Bugbear.B@mm è un mass-mailing worm (cioè una minaccia che si distribuisce su vasta scala tramite posta elettronica). E' anche in grado di propagarsi su condivisioni di rete; Il Worm è polimorfico ed è anche in grado di infettare una lista di file eseguibili selezionati. Esso memorizza ciò che viene digitato tramite tastiera; ha funzionalità di backdoor (vale a dire: consente il controllo remoto del computer da parte di terzi) cerca di interrompere i processi di numerosi programmi antivirus e firewall.
Il nostro antivirus installato sui server di posta è in grado di bloccare questo virus nelle mail.
Invece l'antivirus installato sui pc fino ad ieri non era ancora aggiornato e quindi non lo rilevava .
Se ci sono particolari malfunzionamenti sui PC segnalatelo ad HELP DESK, è comunque in distribuzione (automatica) l'aggiornamento dell' antivirus.

[elfoscuro]

Ma possibile che non ci sia un modo per bloccare/eliminare tutti gli allegati pif, scr, exe in automatico,
proprio per evitare che i soliti furbacchioni ci clicchino sopra alla velocità della luce ?

"guu... che bello un'allegato, io cliccare, vedere bello scrinseiver"

[Lover]

scusate, credo di essere incappato in questo tipo di virus... erroneamente ho aperto un thread in disc.generiche, giustamente chiusa dal mod.
Alor, ho ricevuto un'email che al 99% conteneva come allegato sto nuovo virus che ultimamente sta facendo strage anche in italia(W32/BugBear.B);
my question is:
. la mia posta la gestisco direttamente su libero.it quindi non uso programmi di posta(outlook ecc.);
. molto ma molto ingenuamente ho aperto l'allegato, però senza salvarlo sul mio disco e cioè, cliccandoci sopra, mi si è aperta la classica finestra che chiede se aprire l'allegato o salvarlo prima su disco.. bene, io l'ho solo aperto ma non è successo nulla...
ho notato, tramite ZoneAlarm, che è spuntato dal nulla un exe EISF.exe che cercava di fare da server sulla mia postazione.... l'ho bloccato...
infatti mi era partito il pgm di spooler (questo in rif.. alle vs. segnalazioni secondo le quali vede le stampanti come altri pc)

[Hell-VoyAgeR]

Quote:

Originally posted by "elfoscuro"

Ma possibile che non ci sia un modo per bloccare/eliminare tutti gli allegati pif, scr, exe in automatico,
proprio per evitare che i soliti furbacchioni ci clicchino sopra alla velocità della luce ?

"guu... che bello un'allegato, io cliccare, vedere bello scrinseiver"

si esiste... ma... (e ti pareva se non c'era un "ma"?)

1. richiede sbattimento da parte dei sysadm (e che li pagano a fare?)
2. costa e neanche poco
3. se costa e richiede sbattimento, perche' darlo gratis agli utenti?

credo di essermi parzialmente spiegato

[Hell-VoyAgeR]

Quote:

Originally posted by "Lover"

scusate, credo di essere incappato in questo tipo di virus... erroneamente ho aperto un thread in disc.generiche, giustamente chiusa dal mod.
Alor, ho ricevuto un'email che al 99% conteneva come allegato sto nuovo virus che ultimamente sta facendo strage anche in italia(W32/BugBear.B);
my question is:
. la mia posta la gestisco direttamente su libero.it quindi non uso programmi di posta(outlook ecc.);
. molto ma molto ingenuamente ho aperto l'allegato, però senza salvarlo sul mio disco e cioè, cliccandoci sopra, mi si è aperta la classica finestra che chiede se aprire l'allegato o salvarlo prima su disco.. bene, io l'ho solo aperto ma non è successo nulla...
ho notato, tramite ZoneAlarm, che è spuntato dal nulla un exe EISF.exe che cercava di fare da server sulla mia postazione.... l'ho bloccato...
infatti mi era partito il pgm di spooler (questo in rif.. alle vs. segnalazioni secondo le quali vede le stampanti come altri pc)

e' lui... DAGLI ALL'UNTORE!!! scherzi a parte, armati e ripulisci PCSTT (Prima Che Sia Troppo Tardi)

[Hell-VoyAgeR]

Lo sto esaminando or ora... ma pare che ci sia gia' una versione di BugBear/B mutata (e' un virus polimorfico)

Rinnovo l'urgenza di stare MOLTO attenti agli allegati, anche se provenienti da persone conosciute.

[Hell-VoyAgeR]

quando un dubbio diventa realta'...

infatti ci sono alcune versioni in giro generate dal motore polimorfico che sono diverse dall'originale

fortunatamente queste versioni sembrano non funzionanti

in ogni caso sophos ha gia' rilasciato un file di definizione per riconoscerle e identificarle come bugbear-dam

altri antivirus potrebbero riconoscerle gia'

e' una DURA guerra...

[elfoscuro]

Quote:

Originally posted by "Hell-VoyAgeR"


credo di essermi parzialmente spiegato

purtroppo sì

Vediamo....
... e se la nostra MITTICCA Microsoft
avesse messo la funzioncina in outlook express oppure potenziando le regole es se il messaggio contiene allegati *.pif,exe, allora inoltra al cestino ??
Daltr'onde avevano avuto la geniale idea di impedire l'apertura di TUTTI gli allegati in una versione di oe (funzione disattivabile ovviamente)

[Hell-VoyAgeR]

Quote:

Originally posted by "elfoscuro"



purtroppo sì

Vediamo....
... e se la nostra MITTICCA Microsoft
avesse messo la funzioncina in outlook express oppure potenziando le regole es se il messaggio contiene allegati *.pif,exe, allora inoltra al cestino ??
Daltr'onde avevano avuto la geniale idea di impedire l'apertura di TUTTI gli allegati in una versione di oe (funzione disattivabile ovviamente)

beh ci sarebbe comunque qualcuno che si lamenta perche' non puo' ricevere allegati eseguibili, quindi la funzione sarebbe resa disabilitabile... o disabilitata di default...

credo che il buonsenso non possa essere sostituito da nessun programma...
...ma forse da un CERTO sistema operativo antartico si ...