Der Wurm 'BugBear/Tanatos' verbreitet sich per E-Mail mit variablen Betreff und Attachmentnamen sowie mittels Netzlaufwerkverbindungen. Der Bugbear/Tanatos-Wurm installiert auf Port 36794 eine Hintertür und zeichnet Tastatureingaben auf.

Betroffene Systeme

• Microsoft Windows-Systeme

Referenzname/Aliases

• W32/Bugbear-A
• W32/Bugbear@MM
• Tanatos
• Tanat
• WORM_NATOSTA.A
• I-Worm/Keywo

Einfallstor

• E-Mail-Nachricht
• Netzwerkfreigaben (shared resources)

Auswirkung

• Aufzeichnung der Tastatureingaben eines infizierten Systems. Die aufgezeichneten Daten werden per E-Mail an ein entferntes System geschickt.
• Installation einer Hintertür auf Port 36794 infizierter Systeme, zum Empfang von Kommandos eines entfernten Rechners.
• Installation verschiedener Dateien mit in engem Rahmen zufälligen Namen:
  • xxx.EXE im Startup-Verzeichnis, diese Datei hat üblicherweise eine Größe von 50688 bytes und beinhaltet eine Kopie des Wurmes.
  • yyyy.EXE im Sytem-Verzeichnis, diese Datei hat üblicherweise eine Größe von 50688 bytes und beinhaltet eine Kopie des Wurmes.
  • zzzzzzz.DLL im Sytem-Verzeichnis, diese Datei hat üblicherweise eine Größe von 5632 bytes und ist ein Programm zur Aufzeichnung von Tastatureingaben.
  Wobei die Buchstaben x, y, z für zufällig vom Wurm gewählte Buchstaben stehen.
• Der Wurm startet einen Thread, der versucht, bekannte Virenfilter und Sicherheitsprogramme zu terminieren. Details sind in der Sektion Beschreibung zu finden.
• Der Wurm fügt unter folgendem Registry-Wert einen Eintrag hinzu

  HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
       

  Dies führt dazu, daß der Wurm nach einem System-Reboot neu gestartet wird.
• Verbreitung über Netzwerkfreigaben.

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Infektion
Bugbear ist ein Wurm, der sich sowohl über E-Mail als auch über NetBIOS-Verbindungen verbreitet. Bei Empfang einer infizierten E-Mail-Nachricht durch Microsoft Outlook, Outlook Express oder Internet Explorer versucht der Wurm, eine bereits bekannte Schwachstelle bei der Verarbeitung von MIME-Types oder eine IFRAME-Schwachstelle in den o. g. Produkten auszunutzen, um das beherbergende System bereits bei der Voransicht des E-Mail (ohne explizite Ausführung des Attachments) zu infizieren. Auf infizierten Systemen versucht der Wurm sich auf alle verfügbaren Netzwerkressourcen zu kopieren. Neben Netzlaufwerken schließt dies auch Drucker ein, die zwar nicht infiziert werden aber möglicherweise den Binärcode des Wurmes ausdrucken, was zu hohem Verbrauch an Papier führt.

Selbstinstallation
Nach erfolgreicher Infektion eines Systems fügt der Wurm unter folgendem Registry-Key

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

Folgende Dateien werden installiert:

• xxx.EXE im Startup-Verzeichnis, diese Datei hat üblicherweise eine Größe von 50688 bytes und beinhaltet eine Kopie des Wurmes.
• yyyy.EXE im Sytem-Verzeichnis, diese Datei hat üblicherweise eine Größe von 50688 bytes und beinhaltet eine Kopie des Wurmes.
• zzzzzzz.DLL im Sytem-Verzeichnis, diese Datei hat üblicherweise eine Größe von 5632 bytes und ist ein Programm zur Aufzeichnung von Tastatureingaben.

Ein Thread des Wurmes versucht folgende bekannte Virenscanner und Sicherheitsprogramme zu beenden:

_AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, ACKWIN32.EXE, ANTI-TROJAN.EXE, APVXDWIN.EXE, AUTODOWN.EXE, AVCONSOL.EXE, AVE32.EXE, AVGCTRL.EXE, AVKSERV.EXE, AVNT.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPDOS32.EXE, AVPM.EXE, AVPTC32.EXE, AVPUPD.EXE, AVSCHED32.EXE, AVWIN95.EXE, AVWUPD32.EXE, BLACKD.EXE, BLACKICE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLAW95.EXE, CLAW95CF.EXE, CLEANER.EXE, CLEANER3.EXE, DVP95.EXE, DVP95_0.EXE, ECENGINE.EXE, ESAFE.EXE, ESPWATCH.EXE, F-AGNT95.EXE, F-PROT.EXE, F-PROT95.EXE, F-STOPW.EXE, FINDVIRU.EXE, FP-WIN.EXE, FPROT.EXE, FRW.EXE, IAMAPP.EXE, IAMSERV.EXE, IBMASN.EXE, IBMAVSP.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFACE.EXE, IOMON98.EXE, JEDI.EXE, LOCKDOWN2000.EXE, LOOKOUT.EXE, LUALL.EXE, MOOLIVE.EXE, MPFTRAY.EXE, N32SCANW.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVNT.EXE, NAVW32.EXE, NAVWNT.EXE, NISUM.EXE, NMAIN.EXE, NORMIST.EXE, NUPGRADE.EXE, NVC95.EXE, OUTPOST.EXE, PADMIN.EXE, PAVCL.EXE, PAVSCHED.EXE, PAVW.EXE, PCCWIN98.EXE, PCFWALLICON.EXE, PERSFW.EXE, RAV7.EXE, RAV7WIN.EXE, RESCUE.EXE, SAFEWEB.EXE, SCAN32.EXE, SCAN95.EXE, SCANPM.EXE, SCRSCAN.EXE, SERV95.EXE, SMC.EXE, SPHINX.EXE, SWEEP95.EXE, TBSCAN.EXE, TCA.EXE, TDS2-98.EXE, TDS2-NT.EXE, VET95.EXE, VETTRAY.EXE, VSCAN40.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSSTAT.EXE, WEBSCANX.EXE, WFINDV32.EXE, ZONEALARM.EXE.

Hintertür
Bugbear installiert eine Hintertür auf Port 36794. Einem Angreifer stellt diese Hintertür eine Web-basierte Schnittstelle zur komfortablen Fernerkundung und -steuerung des infizierten Rechnersystems zur Verfügung. Sie ermöglicht neben dem Browsen durch alle Dateisysteme und Laufwerke auch das Absetzen von Kommandos an das infizierte Rechnersystem. Diese umfassen folgende Funktionalität:

• Download von Passworthashes
• Installation und Ausführung beliebiger Dateien
• Finden, Ausführen, Kopieren und Löschen von Dateien
• Schreiben in Dateien
• Auflistung laufender Prozesse
• Beenden von Prozessen
• Auflistung von Systeminformation, wie username, Prozessortyp, Betriebssystemversion, Speicherinformation (belegter, freier Spreicher, etc.), Information über verfügbare Laufwerke.

Weiterverbreitung
Bugbear verbreitet sich sowohl als klassischer E-Mail-Wurm als auch über Netzwerkfreigaben weiter.

• Verbreitung per E-Mail

  Der Wurm schickt Kopien von sich selbst an E-Mail-Adressen, die er auf dem infizierten System vorfindet. Die Routinen zur Erzeugung von Betreffzeilen (Subject:) sind relativ komplex und verwenden Strings, die auf dem infizierten System vorgefunden werden. Listen von häufig beobachteter Betreffzeilen werden in den Meldungen der verschiedenen Anti-Viren-Programmhersteller (siehe Sektion 'Weitere Information zu diesem Thema') gepflegt.

  Der Wurm ist in der Lage, Mail-Header zu manipulieren und beispielsweise gefälschte From:- und Reply-To:-Header in die infizierten Nachrichten einzufügen. Er verschickt keine Nachrichten an Empfängeradressen, die Strings enthalten, die darauf hindeuten, daß Schwierigkeiten bei der Zustellung entstehen können. Empfängeradressen, die folgende Strings enthalten werden ausgeschlossen:

  remove, spam, undisclosed, recipients, noreply, lyris, virus, trojan, mailer-daemon, postmaster@, root@, nobody@, localhost, localdomain, list, talk, ticket, majordomo

  Der Mail-Body infizierter Nachrichten variiert und enthält meist Teile von Texten, die auf dem infizierten System gefunden werden.

  Der Wurm hängt eine Kopie seines Binärcodes als Attachment an infizierte Nachrichten. Das Attachment erhält dabei eine doppelte file extension, was bei verwundbaren Versionen von Outlook, Outlook Express und Internet Explorer zur Fehlinterpretation des angehängten Dateityps führt.
  Diese Schwachstelle ist in der Meldung RUS-CERT#309 beschrieben. Daneben nutzt der Wurm eine IFRAME-Schwachstelle in den angegebenen Mailprogrammen, die beim Betrachten des Attachments zur Infektion des beherbergenden Rechnersystem führt.

• Verbreitung über NetBIOS

  Nach erfolgreicher Infektion eines Systems versucht der Wurm sich auf alle verfügbaren Netzwerkfreigaben zu kopieren, insbesondere in \Start Menu\Programs\Startup\-Verzeichnisse entfernter Systeme. Auch Druckerfreigaben werden Ziel von Kopierversuchen, was dazu führen kann, daß der angesprochene Drucker den Binärcode des Wurms ausdruckt. Dies führt zu extensivem Papierverbrauch. Erfolgreich über NetBIOS infizierte Systeme führen den Wurm beim nächsten Neustart des Systems aus. Dieser Umstand kann bei größeren Windows-Netzwerken die Desinfektion stark erschweren.

Gegenmaßnahmen

• Installation der aktuellen Virenfilter der verschiedenen Hersteller.

  Hinweis für Mitglieder der Universität Stuttgart
  Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee Virenscanner, der in der aktuellen Version diesen Virus zuverlässig erkennt und entfernt. Näheres hierzu erfahren Sie unter

  • http://wb.rus.uni-stuttgart.de/viren/ (Zugriff nur für Mitglieder der Universität Stuttgart)
  • McAfee DAT 4226

• Das Einfallstor per E-Mail kann durch Installation des im Microsoft Security Bulletin MS01-027 beschriebenen Patches geschlossen werden.

Speziell zur Beseitigung des 'BugBear/Tanatos'-Wurm stellen einige Anti-Virenhersteller kostenlose Werkzeuge zur Beseitigung zur Verfügung:
Hinweis: Das Funktionieren dieser Werkzeuge wurden durch das RUS-CERT nicht verifiziert.

• ftp://ftp.f-secure.com/anti-virus/tools/f-bugbr.zip
• http://www.sophos.com/tools/bear.zip

Generelle Empfehlung (Wh)

• Führen Sie keinerlei Attachments aus, die sie per Email erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
• Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich.

Weitere Information zu diesem Thema

• Sophos Anti-Virus: W32/Bugbear-A

Revisionen dieser Meldung

• V.1.0 (2002-09-30) (Kurzmeldung)
• V.2.0 (2002-10-06) Ausführliche Fassung mit Hinweisen zur Beseitigung des Wurms

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/