Il ritorno di BugBear

Il ritorno di BugBear

Il virus Bugbear.B nuovamente individuato ed il rapida diffusione. Si diffonde anche attraverso rete locale e contiene un pericoloso keylogger.

di Fabio Boneschi pubblicata il , alle 08:48 nel canale Sicurezza
 

Il virus Bugbear.B èstato nuovamente individuato ed il rapida diffusione. Si diffonde anche attraverso rete locale e contiene un pericoloso keylogger.

Da poche ore la rete internet è notevolmente "disturbata" da un virus worm denominato Bugbear, le cui metodologie di diffusione sono ormai arcinote, ovvero: si autoinviato a tutti gli indirizzi email presenti sul sistema infetto sfruttando le rubriche indirizzi (*.ODS, *.INBOX, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX) ed un proprio motore SMTP (Simple Mail Transfer Protocol).

Il messaggio email viene costruito usando alcune parti standard ed altre prelevate dal sistema stesso, come ad esempio il nome dell'allegato a cui viene aggiunta estensione exe, scr o pif.

Ci sono alcuni particolari che rendono Bugbear più pericolo rispetto ai suoi predecessori, come ad esempio la capacità di diffondersi all'interno di reti locali ed una funzionalità che, individuando la cartella di avvio del sistema, tenta di killare i processi relativi ai più comuni antivirus. In tal modo anche un pc con antivirus installato viene reso vulnerabile ed infettato.

Altra preoccupante caratteristica è la presenza di un keylogger, ovvero una parte di codice in grado di memorizzare i tasti premuti dall'utente, password e user name compresi!

Bugbear.B, da alcuni denominato Tanatos.b, si sta diffendendo con una velocità elevatissima, ed il grafico seguente (relativo alle ultime 24 ore) è molto eloquente.

I più diffusi antivirus sono in grado di rilevare il worm in oggetto, ma ovviamente devono essere opportunamente aggiornati e configurati. Stesse attenzioni vanno riservate sistema operativo, al mail client ed al browser web, tutti elementi che se mal configurati possono rendere vulnerabile il nostro sistema.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

41 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Gaz07 Giugno 2003, 09:21 #1
nelle ultime due settimane ho ricevuto 3-4 messaggi contenenti degli allegati con estensione pif ed il mittente era MS, altri messaggi invece erano privi di allegato ma avevano una dimensione di 100-150 Kb senza testo l’unica cosa che si poteva notare era un piccolo quadratino in alto a sinistra e null’altro (il mittente variava di volata in volta). Qualcono sa di cosa si tratta, magari un worm amico di Outluk
**mUs3**07 Giugno 2003, 09:25 #2
ma tanto finchè non apri gli allegati delle e-mail non può succederti niente giusto ???....GIUSTOO ?????????
renatofast07 Giugno 2003, 09:42 #3
Originally posted by "**mUs3**"

ma tanto finchè non apri gli allegati delle e-mail non può succederti niente giusto ???....GIUSTOO ?????????

giusto !
ReverendoMr.Manson07 Giugno 2003, 09:49 #4
Ma se non è un virus che attacca il record d'avvio del disco, in caso estremo, basterebbe formattare per eliminare ogni traccia del virus, GIUSTOO ?????????

cionci07 Giugno 2003, 09:50 #5
Se avete degli OutLook vecchi può anche succedere qualcosa anche solo attraverso la preview automatica del messaggio
NightStalker07 Giugno 2003, 10:08 #6
disabilitare la preview no eh?
lasa07 Giugno 2003, 10:47 #7
Io le Email strane le cancello di colpo e via, tanto di roba seria che mi arriva ci sono solo le conferme degli ordini di materiale hardware.....
prova07 Giugno 2003, 10:59 #8

LA cosa più intelligente ...

... da fare consiste nell'installare sul proprio pc programmini semplici [ma meravigliosi] come MAILWASHER.
Il quale non solo ti permette di proteggerti dallo spam [nel giro di una settimana mail di spam=0, quando prima me ne arrivavano anche venti al giorno] ma ti consente di avere una preview della mail DAL SERVER [as esempio da Libero] e poi cancellare la mail se non ti interessa. O se la ritieni contenente un virus.

Gran figata, Mailwahser! D
guest07 Giugno 2003, 11:10 #9
Da noi è arrivato in ufficio. Per eliminarlo ho dovuto fare una scansione online da un sito, il quale mi ha rilevato la presenza del virus e mi ha dato il nome. Poi mi bloccava il norton all'avvio e non me lo faceva partire neanche a mano... Ho dovuto riavviare in modalita dos, rinominare l'exe del norton e farlo partire a mano (il virus ha una lista di exe da killare immediatamente). A questo punto live update e poi una scansione. Trovati più di 10 files infetti. (Tra cui notepad.exe, guida di IE e acrobat reader). Tutto questo perchè abbiamo la necessità di avere la preview attiva. Non gli aggiorno Outlook perchè se succede qualcosa è un disatro. Non abbiamo possibilità di fare back_up.
Comunque adesso ci dovrebbe essere un tool, anche dal sito della Symantec che lo rimuove.
Tra giovedì e venerdì ci sono arrivate alemno 30 mail infette.
Una vera rottura di palle
TechnoPhil07 Giugno 2003, 11:34 #10
Tanto è gente come noi che li fa e li mette in giro....

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^