W32.Bugbear@mm – gyorsan terjedő féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: változó
Csatolmány: változó, dupla kiterjesztéssel (EXE, SCR, PIF)

A féreg paraméterei

Felfedezésének ideje: 2002. szeptember 30.
Védekezés elkészültének ideje: 2002. szeptember 30.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 50.688 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: közepes
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba és a Startup könyvtárba
– létrehoz három kódolt DLL file-t a System, és kettő kódolt .dat állományt a Windows könyvtárban; mivel ezen állományok nem fertőzőek, ezt egy esetleges beszerzés után a felhasználónak magának kell eltávolítania
– hozzáad a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce Registry kulcshoz egy bejegyzést, ami az állományra mutat
– képes leállítani a legtöbb védelmi (antivírus, tűzfal) szoftver futó processét
– távoli számítógépek Startup könyvtárába másolja magát a hálózati megosztások révén
– önmagának elküldésére e-mailcímeket keres az inboxból és a következő kiterjesztéssel rendelkező állományokból: MMF, NCH, MBX, EML, TBB, DBX, OCS
– a felhasználó e-mailcímét és SMTP-szerverét a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Account Manager/Accounts Registry kulcsból szedi ki
– elküldi magát, s az e-mail formája olyan, hogy képes kihasználni egy korábbi rendszerhiányosságot, melynek révén még könnyebb megfertőződni (ennek javítása letölthető a kapcsolódó linkek egyikére kattintva)
– előre meghatározott e-mailcímekre is küld levelet, ennek csatolmánya setup.exe névre hallgat, s ebben tárolja a megfertőzött számítógép információit
– kinyitja a 36794-es portot, így lehetővé teszi egy rosszindulatú behatoló számára, hogy irányítása alá vonhassa a rendszert