Ismét terjed a Bugbear féregvírus

A fertőzött e-mail jellemzői

Feladó: kétféle meghamisított cím szerepelhet itt:
– vagy a fertőzött rendszeren talált egyik e-mailcímet illeszti be
– vagy generál egyet egy elképesztően hosszú listából válogatva

Tárgy: egy több elemből álló listából válogat, néhány példa:
– Hello!
– update
– hmm..
– Payment notices
– Just a reminder
– Correction of errors
– history screen
– Announcement
– various
– Introduction
– Interesting…
– I need help about script!!!

Csatolmány: egy, a fertőzött rendszerről választott állomány neve .zip vagy .htm kiterjesztéssel

A féreg paraméterei

Felfedezésének ideje: 2004. május 25.
Utolsó frissítés ideje: 2004. május 26.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 75 Kbyte, változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a System könyvtárban az alábbi állományokat:
. zlzxjx.exe
. lzlcmc.dll
. tbtnonb.dll
. [véletlenszerűen létrehozott név].dll
– létrehozza a Temp mappában a következő file-okat:
. vba[véletlenszerűen összeválogatott karakterek].tmp
. $[véletlenszerűen összeválogatott karakterek].bak (ez utóbbiból több állományt is generálhat)
– JPEG és MP3 állományok után keres, melyek olyan könyvtárakban találhatók, amik neveiben az alábbi sztringek legalább egyike szerepel:
. BEAR
. DONKEY
. DOWNLOAD
. FTP
. HTTDOCS
. HTTP
. MORPHEUS
. ICQ
. KAZAA
. LIME
. MULE
. SHAR
. UPLOAD
– ha talál ilyeneket, bemásolja oda magát az ott található file-neveken, EXE kiterjesztéssel
– létrehozza a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Internet Settings/EnableAutodial Registry kulcsot
– hozzáad egy, a System könyvtárban található féregfile-ra mutató bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– leállítja a rendszerre telepített behatolásvédelmi programok futó process-eit
– e-mailcímeket gyűjt a fertőzötté vált rendszeren, majd mindegyikre továbbítja magát
– létrehozhat egy másik e-mailt is, melyet alkotójának küld el; ebben a következő adatok találhatók: cookie-k, vágólap információk, billentyűzet-leütéssel szerzett adatok, szövegek megnyitott ablakokból stb.