Link & Info utili su Bugbear e Opaserv
In questa pagina: Symantec - F-Secure - Bitdefender
Bugbear (chiamato anche Tanatos) a detta degli esperti è il successore del Worm Klez
E' comparso in Internet intorno alla fine di Settembre 2002, nello stesso periodo è comparso Opaserv che ha conosciuto
una diffusione leggermente minore, questo ha portato i produttori a interessarsi a entrambi
Leggi l'analisi Symantec su Bugbear: (in inglese) http://www.sarc.com/avcenter/venc/data/w32.bugbear@mm.html
Anche Bugbear come Klez sfrutta una vulnerabilità delle vecchie versioni di Outlook Express ( IFRAME ) in questi casi se
il programma di posta elettronica non è aggiornato a una versione recente il programma allegato (il virus) si autoinstalla
senza che voi dobbiate cliccare sull'allegato.
Disponendo di Outlook Express aggiornato alla versione 5.5 SP2 o 6 non si è vulnerabili (a meno che non clicchiate sul virus)
Come aggiornare Internet Explorer e Outlook Express alla versione 5.5 SP2 - idem ma alla versione 6SP1
Con questa premessa è facile capire come questi Worm si diffondano rapidamente, la prima cosa che farà Bugbear sarà di
disabilitare Antivirus e Firewall nonchè di spedirsi a tutti gli indirizzi trovati nei file con le seguenti estensioni (fonte: Symantec)
* .mmf
* .nch
* .mbx
* .eml
* .tbb
* .dbx
* .ocs
Per la cronaca .mbx e .dbx corrisponde al formato delle cartelle di Outlook Express quindi di indirizzi email lì dentro il
worm ne troverà sicuramente parecchi (il formato .mbx riguarda le versioni precedenti la 5)
Chi riceverà il Worm vedrà un messaggio che parte dal vostro indirizzo e se non è esperto può essere facilmente ingannato...
--
Se il vostro programma di posta elettronica è obsoleto e il vostro software antivirus non era aggiornato siete stati infettati.
Bugbear - Sintomi dell'infezione
Bugbear apre la porta 36794 per verificarlo andate sul Menù Start - Programmi - Prompt di MS-DOS
Nella schermata DOS scrivete netstat -na e date invio (netstat - na scritto: netstat (spazio) -na
Cercate se nell'elenco delle connessioni attive vedete 36794
Altri sintomi della presenza di Bugbear sono la presenza nella vostra directory di Windows di alcuni file
vostra directory di Windows \nomecasuale.exe (delle dimensioni di 50.688 o 50.684 bytes)
Opaserv - Sintomi dell'infezione
Se il vostro problema è scrsvr.exe si tratta di Opaserv, questo worm cerca di moltiplicarsi attraverso Internet e
le condivisioni di rete, se avete dei pc collegati in rete fra loro (LAN) l'infezione si estenderà a tutti
(Opaserv sfruttando un bug riuscirà a infettare anche se le condivisioni sono protette da password - vedi sotto MS0072 )
Anche qui per risolvere vanno scollegate le macchine e disinfettate una alla volta, solo dopo la pulizia ricollegatele fra loro.
Vulnerabili risulteranno quei PC casalinghi che hanno il NetBios attivo e saranno senza Firewall...
Se il vostro Firewall vi avvisa che qualcuno bussa sulla porta 137 ogni 5 minuti non dovete preoccuparvi troppo, sono
scansioni da parte delle macchine infette che cercano via Internet di infettarne altre.
Altri sintomi dell'infezione oltre a scrsvr.exe sono la presenza di alcuni file: c:\tmp.ini e scrsout.dat ma per tutte le informazioni
vi rimando alle pagine della Symantec o quella della BitDefender
Di Opaserv ne sono uscite numerose varianti tra cui la E (brasil.exe o brasil.pif ) e poi la G (Marco!.scr)
Assicuratevi quindi che il vostro Tools di rimozione sia recente !
Se lo avete appena scaricato siete sicuri che lo sia ma se nei giorni successivi vi serve di riusarlo per voi o per amici
scaricatelo di nuovo, avrete così la certezza di usare un programma di rimozione aggiornato contro eventuali nuove varianti.
Notare anche che sui Tools è riportata la versione, nell'immagine sotto vedete una schermata presa da quello per Opaserv
aggiornato alla versione 1.0.1 dopo l'uscita della variante Opaserv.E - trovate più avanti i link per scaricare il Tools
Attenzione leggere: Opaserv sfrutta una (vecchia) vulnerabilità di Windows Share Level Password' Vulnerability
Dalla pagina Symantec:
>The worm uses a security vulnerability in Microsoft Windows 95/98/Me.
>It sends single character passwords to network shares to get access to
>Windows 95/98/Me file shares without knowing the entire password assigned to the shares.
Trovate tutte le informazioni e le relative patch (Windows 95 - 98 - 98 SE - Millennium) qui
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-072.asp
---
Leggere anche questo: molti di voi useranno il Tools e non troveranno nulla, oppure se già infetti seguiranno tutte le
istruzioni e rimuoveranno il Worm, eppure nonostante ciò il vostro antivirus ogni volta che vi collegate a Internet
vi avvisa della presenza di Opaserv, come mai ?
Opaserv una volta che infetta un computer cerca (via LAN o Internet) di contagiarne altri, il vostro Antivirus blocca
in continuazione Opaserv perchè voi avete una porta aperta (la 137 detta a volte porta Netbios o Nbname) sono altri PC
infetti da Opaserv che via Internet cerca di "entrare" e contagiare il vostro PC (non lo fanno apposta ;-)
Soluzione 1: Installate un Firewall e non pensateci più, uno gratuito, molto facile e alla portata di tutti è Outpost
Soluzione 2: Chiudere la porta 137 disabilitando il Netbios (se non siete in una rete non ne avete bisogno), la porta 137 può
risultare aperta anche se in Pannello di Controllo - Rete il Netbios non c'è, in tal caso (sempre se non siete in rete) un metodo
spartano ma efficace per chiuderla (relativa al solo Windows 98) è trovare il file vnbt.386 e rinominarlo o eliminarlo, dopo il
successivo riavvio la porta sarà chiusa. Nell'immagine sotto vedete il file vnbt.386
Si può rinominarlo (es. vnbt.386.OLD come in immagine seguente) oppure un altro metodo è zipparlo e eliminare la copia
non zippata, in caso di bisogno basta rinominare il file con l'estensione originale o decomprimere il vnbt che avete zippato.
Ricordate sempre di riavviare per rendere effettiva la modifica
Una FAQ su Opaserv è stata pubblicata anche su it.comp.sicurezza virus e la potete visualizzare qui
--
Rimuovere Bugbear e Opaserv
Per rimuoverlo dovete procedere manualmente, per aiutare le persone poco esperte esistono dei piccoli Tools di rimozione
che produttori come Symantec - F-Secure - Futur Time - Bitdefender o altri hanno messo gratuitamente a disposizione.
A tal proposito vi raccomando di scaricare questi Removal Tools esclusivamente dai siti dei produttori sopra indicati, in
passato ci sono stati casi di virus che arrivavano per posta elettronica spacciandosi per Tools di Rimozione del virus xxx
Evitate di scaricarli anche da siti poco affidabili, qualunque sia il produttore del vostro antivirus nella sua Homepage ci sarà
sicuramente scritto qualcosa su Bugbear e su un eventuale Tools di Rimozione, se non sai qual'è il portale del produttore
del tuo Antivirus appoggiati a un motore di ricerca per trovarlo.
Symantec
La pagina dove scaricare il Tools di rimozione per Bugbear è questa:
http://www.sarc.com/avcenter/venc/data/w32.bugbear@mm.removal.tool.html
Il programma da scaricare si chiama FgBgbear.exe e pesa solo 175 Kb
Per Opaserv il link è invece questo:
http://www.sarc.com/avcenter/venc/data/w32.opaserv.worm.removal.tool.html
Il programma da scaricare si chiama FixOpsrv.exe di 164 Kb circa
Le istruzioni e le immagini di seguito sono per Bugbear ma l'uso del Tools è simile.
Scaricate il Tools dove volete, anche il desktop va benissimo (o anche su floppy)
Prima di fare doppio clic sul file per lanciare in esecuzione il programma sappiate che:
1) Se avete Windows Millennium o XP dovete prima disabilitare la cartella Restore, questa cartella contiene un backup del
sistema operativo e quindi anche del virus stesso, il Tools non può cancellare la eventuale copia del virus presente in questa
cartella in quanto è una speciale cartella di sistema e non può accedervi.
Svuotando la cartella Restore ti metti al riparo da futuri problemi (tipo ripristinare una copia del virus:-)
Per"svuotare la cartella Restore segui queste facili istruzioni (con immagini) : Symantec - F-Secure (Millennum) XP
2) se il vostro pc è collegato in rete ( tradotto: se il vostro PC è collegato via cavo ad altri PC) dovete prima
scollegarlo e solo dopo iniziare la disinfezione, disinfettate i PC uno alla volta e solo dopo ricollegateli tra loro.
Usiamo il Tool
Fate doppio clic su FgBgbear.exe e vedrete apparire una schermata come nell'immagine successiva.
Premete il pulsante Start per far iniziare la scansione
Una volta premuto Start il Tools inizia la ricerca di Bugbear sul vostro Hard Disk, l'operazione è molto rapida, dipende
comunque dalle prestazioni della vostra macchina e dal numero dei file presenti su disco.
Il mio PC non era infetto e quindi alla fine è apparso questo avviso:
Nel caso di un PC infetto al termine della scansione riavviate e ripetete l'operazione
Si avete capito bene, dopo il riavvio dovete rifare doppio clic sul Tools di rimozione e lanciare una seconda scansione, questo
per essere sicuri che il Worm sia stato effettivamente rimosso dal sistema.
Dalla pagina Symantec: "Run the removal tool again to ensure that the system is clean"
Il Tools crea automaticamente un file di log, questo log viene creato nella stessa directory dove avete lanciato il Tools
Dopo la rimozione avete quindi la possibilità di aprirlo con Notepad o altro Editor di testo e vedere cosa e dove era infetto..
Domanda : Ho eliminato Bugbear con il Tools di rimozione, ora sono a posto ?
Risposta: No, come già scritto Bugbear ha capacità di Backdoor e monitora anche i tasti premuti (keystroke-logging)
se sei certo di averlo eliminato procedi così:
1) Devi cambiare tutte le tue password di posta e/o accesso Internet perchè potrebbero essere state sottratte.
Se mentre eri infetto hai eseguito operazioni di E-commerce o bancarie forse è il caso di cambiare anche qui le password,
contatta la tua banca per sapere come e cosa fare
2) Bugbear se riesce a entrare nel sistema danneggia irreparabilmente Antivirus e Firewall, questi prodotti (dopo la
disinfezione) andranno reinstallati di nuovo e immediatamente aggiornati.
Dopo averli reinstallati ricorda che molti Antivirus non eseguono la scansione di tutti i file ma solo quella dei file con estensione
di programma e di documento, per avere invece la massima sicurezza abilita la scansione di tutti i file.
Dopo aver configurato correttamente l'antivirus aggiornalo e per sicurezza fai una scansione completa del tuo PC per essere
sicuro che non ci siano altri virus (non esiste mica solo Bugbear)
In questa pagina: http://web.tiscalinet.it/winzozz/antivirus.htm potresti trovare informazioni utili.. ci sono anche link a Antivirus
e Firewall gratuiti.
3) Per prevenire situazioni simili in futuro aggiorna il tuo programma di posta elettronica, se usi Outlook Express troverai in
questa pagina http://web.tiscalinet.it/winzozz/aggiornare_ie.htm delle indicazioni su come fare.
Questa società finlandese ha rilasciato anche un tools con annesse informazioni per l'uso.
Analisi di Bugbear - Tools di rimozione - Istruzioni
Diversamente da Symantec il Tools di F- Secure è in formato zip, questo significa che prima di usarlo dovete decomprimere
il file zippato con un programma per la decompressione dei file - esempio : Winzip - Powerarchiver - Winrar
All'interno vi è una cartella con due file, il programma di rimozione e un file di testo.
Il procedimento per usare il Tools di F- Secure è simile a quello della Symantec
La differenza è nell'interfaccia grafica, cliccando sul Tools di F - Secure compare una finestra DOS, nell'immagine sotto
vedete un dettaglio della scansione
Dopo la pulizia anche F- Secure raccomanda di cambiare le password (leggi a tal proposito f-bugbr.txt)
BitDefender ha rilasciato Tools di rimozione muniti di interfaccia grafica per ambedue i Worm.
Potete leggere qui la loro descrizione dettagliata Analisi di BugBear - Analisi di Opaserv
Il link per scaricarli è questo : Bugberar - Opaserv
BitDefender ha creato anche in passato Tools per i Worm più diffusi e trovate l'elenco completo in questa pagina
Premendo Exit il Tools della BitDefender offre la possibilità di inserire la propria email e di ricevere delle news sulla sicurezza
Se volete potete inserire l'indirizzo email e premere OK (stando online) verrete reindirizzati al loro sito.
Se non volete ricevere news togliete il segno di spunta e premete OK per uscire dal programma (vedi sotto)
Altri link e programi utili su Bugbear
Anche Sophos ha pubblicato un analisi di Bugbear e ha reso disponibili due Tools di rimozione - uno è in formato zip l'altro
autoestraente (non necessita di programmi per decomprimere il file) in ambedue i file vi è allegata la documentazione per l'uso.
--