Állományokat fertőz meg a polimorf Bugbear féregvírus

A fertőzött e-mail jellemzői

Tárgy: Re: szöveggel kezdődik
Csatolmány: A féreg egy speciális mappát keres a rendszeren, melyet a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell/Folders/Personal Registry kulcsban levő bejegyzés megtekintésével talál meg. Innen keres egy olyan állományt, amelynek nem .ini vagy .rdp a kiterjesztése, majd ennek a nevét felhasználjá, s a kiterjesztést .jpg-re írja át. Egyes esetekben a következő file-ok egyike szerepelhet csatolmányként:
– a000032.jpg.scr
– song.wav.scr
– music.mp3.scr
– video.avi.scr
– photo.jpg.scr
– pic.jpg.scr
– message.txt.scr
– image.jpg.scr
– news.doc.scr
– myphoto.jpg.scr
– you.jpg.scr
– love.jpg.scr
– readme.txt.scr

A féreg paraméterei

Felfedezésének ideje: 2004. szeptember 3.
Utolsó frissítés ideje: 2004. szeptember 4.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehoz számos, véletlenszerűen elnevezett állományt a System könyvtárban, melyek kiterjesztései a következők lesznek: .nls, .dat, .tmp, .dll, .exe
– a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz hozzáad egy bejegyzést, mely a fenti állományok közül a .exe kiterjesztésűre mutat
– megkísérli hozzáfűzni saját kódját az alábbi, Windows és Program Files könyvtárakban levő file-okhoz:
• scandskw.exe
• regedit.exe
• mplayer.exe
• hh.exe
• notepad.exe
• winhelp.exe
• Internet Explorer/iexplore.exe
• adobe/acrobat 7.0/reader/acrord32.exe
• WinRAR/WinRAR.exe
• Windows Media Player/mplayer2.exe
• Real/RealPlayer/realplay.exe
• Outlook Express/msimn.exe
• Far/Far.exe
• CuteFTP/cutftp32.exe
• Adobe/Acrobat 6.0/Reader/AcroRd32.exe
• Adobe/Acrobat 5.0/Reader/AcroRd32.exe
• Adobe/Acrobat 4.0/Reader/AcroRd32.exe
• ACDSee32/ACDSee32.exe
• MSN Messenger/msnmsgr.exe
• WS_FTP/WS_FTP95.exe
• QuickTime/QuickTimePlayer.exe
• StreamCast/Morpheus/Morpheus.exe
• Zone Labs/ZoneAlarm/ZoneAlarm.exe
• Trillian/Trillian.exe
• Lavasoft/Ad-aware 6/Ad-aware.exe
• AIM95/aim.exe
• Winamp/winamp.exe
• DAP/DAP.exe
• ICQ/Icq.exe
• kazaa/kazaa.exe
• winzip/winzip32.exe
– átnézi a rendszerben található összes merevlemezt, olyan könyvtárak után kutatva, melyekben az alábbi sztringek egyike megtalálható:
. BEAR
. DONKEY
. DOWNLOAD
. FTP
. HTDOCS
. HTTP
. MORPHEUS
. ICQ
. KAZAA
. LIME
. MULE
. INCOMING
. SHAR
. UPLOAD
– ha talál olyan állományt egy ilyen mappán belül, ami .exe kiterjesztéssel bír, akkor azt megfertőzi; a többi állomány képére pedig létrehozza önmaga kópiáját olyanképp, hogy az eredeti elnevezés és kiterjesztés után odarögzít még egy .exe kiterjesztést
– a következő file-okban e-mailcímek után kutakodik: .dbx, .tbb, .eml, .mbx, .nch, .mmf, Inbox, .ods, .htm, .asp, .txt, .sht
– saját SMTP-motorja révén továbbítja magát az így begyűjtött címekre
– a következő információkat felkeresi a fertőzött rendszeren, és továbbítja alkotójának: cookie-k, vágólap tartalmak, leütött billentyűk logja, szövegek nyitott ablakokból