A Bugbear vírus új, továbbfejlesztett változata bukkant fel
[VirusBuster] Tavaly ősszel hallhattunk először a Bugbear féregvírusról. A Microsoft Outlook, Outlook Express levelezőprogramon keresztül terjedő kórokozó beépített trójai (kémprogram) lehetőségekkel rendelkezik, többek között a begépelt szöveget (így a jelszavakat is) naplózza. Most feltűnt a vírus új változata.
A Bugbear.B általában fertőzött e-mail üzenetek mellékleteként érkezik. A vírus lefuttatásakor bemásolja magát az összes felhasználóra vagy az aktuális felhasználóra érvényes Startup könyvtárba véletlenszerűen választott, négybetűs névvel és .EXE kiterjesztésse . Így minden rendszerinduláskor automatikusan elindul. Védelmi rutinja leállítja számos víruskereső és tűzfal program futását, ezen felül a Windows rendszerkönyvtárban létrehoz egy .DLL kiterjesztésű állományt, amely egy billentyűleütéseket rögzítő program. A vírus backdoor modulja a 1080-as porton várja a parancsokat.
A féreg a számítógépen található .mmf, .nch, .mbx, .eml, .tbb, .dbx és .ods állományokból gyűjti ki azokat az e-mail címeket, amelyekre elküldi magát. A kiküldött levelek címsora véletlenszerűen kiválasztott, tartalma a számítógépen található állományokból készülhet. A levelek mellékletként tartalmazzák a vírust. A melléklet hossza 72192 bájt, neve szintén véletlenszerűen kiválasztott egy listából, kiterjesztése pedig .EXE, .PIF vagy .SCR. A levelek az Outlook ismert biztonsági hibáját használják ki, így a vírus a melléklet szándékos elindítása nélkül, csak a levél elolvasásakor is aktivizálódhat.
A vírus a számítógépen található Windows EXE programok közül megfertőzi azokat, amelyeknek a neve az alábbi listában szerepel:
- hh.exe
- mplayer.exe
- notepad.exe
- regedit.exe
- scandskw.exe
- winhelp.exe
- ACDSee32ACDSee32.exe
- AdobeAcrobat 4.0ReaderAcroRd32.exe
- adobeacrobat5.0readeracrord32.exe
- AIM95aim.exe
- CuteFTPcutftp32.exe
- DAPDAP.exe
- FarFar.exe
- ICQIcq.exe
- Internet Exploreriexplore.exe
- kazaakazaa.exe
- LavasoftAd-aware 6Ad-aware.exe
- MSN Messengermsnmsgr.exe
- Outlook Expressmsimn.exe
- QuickTimeQuickTimePlayer.exe
- RealRealPlayerrealplay.exe
- StreamCastMorpheusMorpheus.exe
- TrillianTrillian.exe
- Winampwinamp.exe
- Windows Media Playermplayer2.exe
- WinRARWinRAR.exe
- winzipwinzip32.exe
- WS_FTPWS_FTP95.exe
- Zone LabsZoneAlarmZoneAlarm.exe
A felsorolt programokat a Windows könyvtárban, vagy a Program Files könyvtárban keresi. A vírus eltávolítása a létrehozott állományok törlésével, illetve a fertőzött állományok törlésével és újratelepítésével lehetséges.