Újabb veszélyes féreg a Bugbear alkotóitól

A fertőzött e-mail tulajdonságai

Két sémából választ egyet.

Tárgy: Please Confirm
Tartalom:Dear Sir or Madame, We have detected that you have placed a Order for Msn8. Before we start your Service please confirm your order. To confirm your order please check the attachement. Thanks, Microsoft Corporation Support
Csatolmány: változó, de többnyire a Notepad.exe picit megváltoztatott nevét veszi fel

Tárgy: File You Requested
Tartalom: Hey Here is the file you wanted
Csatolmány: változó, de többnyire a Notepad.exe picit megváltoztatott nevét veszi fel

A féreg paraméterei

Felfedezésének ideje: 2003. július 23.
Védekezés elkészültének ideje: 2003. július 24.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 204.800 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a C meghajtó gyökerébe a Notepad némileg megváltoztatott nevén (néhány példa: Nkotepad.exe, Nlotepad.exe, Nojtepad.exe); ezen sémát alkalmazza a Windows és a System könyvtárba bejutásakor is
– a következő helyekre másolja még fel magát:
. C:/Attachment.exe
. C:/WNotepad.exe
. C:/Wscript.exe
. C:/My Shared Folder/Avril vs. Madonna Video.exe
. C:/My Shared Folder/file manager program.exe
. C:/My Shared Folder/Modem Booster.exe
. C:/My Shared Folder/Msn 8 Full.exe
. C:/My Shared Folder/Norton Anti-Virus 2003 Cracked!.exe
. C:/My Shared Folder/Virtual Sex.exe
. C:/My Shared Folder/Windows Xp Home Edition Key Gen.exe
. C:/My Shared Folder/Windows Xp Home Edition SP1 Serial.exe
. C:/Windows/Start Menu/Programs/Startup/Microsoft Corporation.exe
. C:/Windows/Welcome.exe
. C:/Windowsf/Notrepad.exe
– több mint 200 üres könyvtárat hoz létre a C meghajtó gyökérkönyvtárában, aminek révén hibássá tudja tenni a C meghajtót, ha azon FAT16 partíció található
– folyamatosan letörli az összes .dat, .inf, .dll, .sys, .exp, .cat, .txt, .vxd kiterjesztéssel rendelkező állományokat a Symantec Shared könyvtárából és alkönyvtáraiból
– a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban létrehozza a következő két bejegyzést:
Msgmgr=[a féreg futtatható részéhez vezető elérési útvonal]
Microsoft Corporation=[a féreg futtatható részéhez vezető elérési útvonal]
– megjeleníti a következő két üzenetet:
Fejléc: Application Error
Üzenet: Missing .Dll File

Tartalom:
[egy, a Bugbear.B változatára hivatkozó kép]
From the Creators of BugBear
– elküldi magát az Address Book összes kontaktja számára