Amit napjaink legveszélyesebb férgéről tudni érdemes

W32.Bugbear.B@mm egy különösen hosszú és bonyolult féreg, mely ellen szerencsére a megjelenést követő órákban elkészült a védelem. A Symantec a féregvírust jelenleg 4-es kategóriájúnak minősíti (a skála 1-5 ig terjed, és az 5-ös osztályzat jelenti a legveszélyesebbet). Hasonlóan 4-es kategóriájú vírusok voltak a közelmúltban a következők: I Love You, Nimda, Sircam, és a Slammer.

Úgy észlelték, hogy a féreg 1300 pénzügyi szervezet domainjét tartalmazta, de az hogy ezt a listát mi módon használta fel pontosan, az nem egészen tiszta. Mindenesetre a részletes analízis azt mutatta, hogy a féreg a kártékony tevékenységét speciálisan ezen pénzügyi szervezetek ellen fejti ki.

A Bugbear azon tulajdonsága, hogy bizonyos bizalmas információkat felfed a megfertőzött gépen, már ismert volt, és ez az eredeti Bugbear féreg jellemzői között is megtalálható. De a Symantec azt fedezte fel, hogy a Bugbear.b variánsa ezt csak akkor teszi, ha a féreg úgy találja, hogy a megfertőzött gép ezen megcélzott pénzügyi szervezetek domainjének egyikén van.

H egy megfertőzött felhasználó ezen domainek valamelyikén felcsatlakozik az Internetre, a féreg képes bizalmas információt küldeni e-mailben tíz nyilvános e-mail cím valamelyikére. Az információ, melyet a féreg ilyen módon elküld, a következő lehet:

– a fertőzött gép alap e-mail címe
– a fertőzött gép SMTP szervere
– billentyűleütés-figyelő log file mérete
– Ezen billentyűleütés-figyelő log file kódolt tartalma, mely tartalmazza a user neveket, jelszavakat és más bizalmas információt

Ezzel az információ halmazzal, a támadónak lehetősége van bejutni a célszervezet rendszerébe.

Azok a nagyvállalatok és végfelhasználók, akik friss vírusdefinícióval rendelkeznek, védve vannak. Ettől függetlenül a Symantec Security Response erősen javasolja, hogy a rendszer adminisztrátorok figyeljék a kimenő email forgalmat, különösen azon 10 nyilvános email címre irányulóan.

Egyébként a Bugbear az egyik leggyorsabban terjedő vírus, melyet a Symantec valaha látott: 1002 bejelentés érkezett a vírusirtót fejlesztő céghez 48 órán belül, a W32.Bugbear.B@mm a májusi kártékony kódok listáján a top 10-ben a 9. helyet kapta volna.