Un total de 18.271.207 ordenadores de todo el mundo estaban infectados por el nuevo virus gusano 'Bugbear.B' a las 17.45 horas del viernes 6 de junio de 2003, según informóel director de Marketing del Laboratorio de Virus de Panda Software, José Manuel Crespo

Por: Agencias
Este gusano ya se encuentra en el primer lugar de virus en España y tiene una tasa de infección del 7 por ciento.

Crespo señaló que la "situación es grave, de alerta roja en todo el mundo" por su rápida expansión. El director de Marketing explicó que este virus infecta todo, es capaz de acceder a los programas de uso más común, desactiva todos los programas de seguridad, captura las pulsaciones del teclado y las envía fuera y abre la puerta a todo lo que haya en el ordenador.

Además, el nuevo gusano conecta a sitios webs, a redes locales e internas de las empresas y envía correos a las direcciones guardadas.

'Bugbear.B' está diseñado para propagarse de forma masiva a través de correo electrónico -utilizando su propio motor SMTP-, e infectar una gran cantidad de ficheros del sistema. El e-mail en el que el gusano llega al equipo tiene asunto variable, lo mismo que el nombre del fichero adjunto al mensaje. Mientras, el cuerpo del mensaje aparece en blanco. 'Bugbear.B' también es capaz de aprovechar una conocida vulnerabilidad -detectada por los antivirus de Panda Software como Exploit/Iframe- del navegador Internet Explorer para ejecutarse automáticamente simplemente con la vista previa del mensaje de correo electrónico en el que llega incluido.

Sin embargo, la mayor peligrosidad de este gusano radica en su capacidad para deshabilitar un gran número de programas antivirus y de seguridad que pueden encontrarse instalados en el ordenador. Para ello, además de finalizar los procesos correspondientes a dichos programas que estén en la memoria del sistema, borra archivos fundamentales para el funcionamiento de los mismos. Además, Bugbear.B es un gusano polimórfico, lo que dificulta en gran medida su detección por parte de los programas antivirus.

.
Viernes, 06 de Junio de 2003 (NOTICIAS.COM)

La velocidad en la propagación de este gusano no tiene precedentes en Centro de Alerta Antivirus. A pesar de haber sido detectado ayer por la tarde, acapara más del 73% de las incidencias detectadas en las últimas 24 horas.

El 'éxito' de tal difusión se debe al uso que hace de una vulnerabilidad de Internet Explorer de versiones no tan actuales que permite la ejecución automática de los ficheros anexos con la simple apertura o visualización previa del mensaje.
Más información sobre la vulnerabilidad en el Boletín de Seguridad de Microsoft.
La descarga del parche que soluciona la vulnerabilidad se puede realizar desde el sitio web de Microsoft.

Posee unas características muy similares al gusano Worm.W32/Palyh@MM.
Su propagación se realiza mediante un correo electrónico con un remitente que puede simular pertenecer a Microsoft, lo cual puede llevar a engaño a usuarios confiados.

Así suele llegar:

Remitente: bill@microsoft.com
El cuerpo del mensaje es "Please see the attached file. ".
El fichero anexo, de extensión .pif o .scr, tiene un tamaño de unos 59 kbytes.

Además, también es capaz de propagarse a través de las unidades compartidas de red.
No tiene efectos dañinos sobre el sistema infectado.

Al igual que el Palyh, contiene una rutina que detiene su difusión en una fecha determinada. En este caso, la propagación finaliza si la fecha del sistema es el 8 de Junio de 2003 o posterior.

http://www.noticias.com/noticias/2003/0306/n0306066_1.htm

Algunos síntomas de una infección:

- Reiteración del tilde cuando se pretende poner un acento:

Por ejemplo, al querer escribir: "infección", aparece "infecci´´on". Solo ocurre en principio con Windows en español (y tal vez en otros idiomas que utilicen tildes). Esto se debe a la rutina de captura de lo tecleado (keylogger), que está preparada para Windows en inglés.

- Un cortafuegos (ZoneAlarm por ejemplo), pide la conexión a Internet de un archivo desconocido de cuatro letras y extensión .EXE; por ejemplo SQCC.EXE, FGRR.EXE, EHTR.EXE, etc. Este archivo es el gusano que pretende conectarse a Internet para llevar a cabo sus rutinas de propagación.

- El gusano, también interrumpe las conexiones a Internet cuando se intentan ciertas acciones.

- Las impresoras de una red pueden comenzar a imprimir basura sin sentido. Este comportamiento se debe a que el gusano intenta infectar todos los dispositivos de una red, inclusive los PRN y LPT.

Herramientas para quitar el W32/Bugbear.B de un sistema infectado:

BitDefender
Descargue la utilidad "Antibugbear-es.exe" (57 Kb) y ejecútela en su sistema:
http://www.bitdefender.com/descarga/evaluacion/Antibugbear-es.exe
Copyright (C) BitDefender 2003.

Panda
Descargue "Pqremove.com" de este enlace (1.2Mb) y ejecútelo en su sistema:
http://updates.pandasoftware.com/pq/gen/bugbearb/pqremove.com
Copyright (C) Panda Software 2003.

Symantec
Descargue la utilidad "FixBugb.exe" (159 Kb) y ejecútela en su sistema:
http://securityresponse.symantec.com/avcenter/FixBugb.exe
Copyright (C) Symantec 2003.

DETALLES DEL VIRUS Y ATAQUES QUE REALIZA
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2644

HERRAMIENTAS GRATUITAS DE DESINFECCIÓN PARA LOS 11 ÚLTIMOS VIRUS APARECIDOS:

La lista siguiente ofrece una relación de herramientas de desinfección facilitadas de forma gratuita por algunos fabricantes de software antivirus para los 11 últimos virus que han sido considerados como Alerta por este Centro.

Son aplicaciones de pequeño tamaño diseñadas para la eliminación de virus específicos y por ello fácilmente descargables, incluso para conexiones a red de baja velocidad.

Esperamos que resulten útiles para la desinfección de vuestros sistemas.
http://www.alerta-antivirus.es/virus/ver_pag.html?tema=V&articulo=9&pagina=0