Nový červ Bugbear, který se začal masivně šířit i u nás, používá standardní ale účinné metody šíření. Zajímavý je tím, že jej na první pohled nedokážete jednoznačně identifikovat.
Bugbear je pravý chameleon, v e-mailech, kterými se šíří, mění názvy příloh, odesílatele, předmět i obsah zprávy. Prostě pokaždé dostanete něco jiného. E-maily mají společný jen obsah přílohy a metodu spouštění. Příloha je pojmenována vždy se zdvojenými příponami, tedy například queen.doc.pif, velikost této přílohy je 50688 bajtů. Mate nejen zdvojeným názvem přípony, obsahuje i mechanismus spouštění příloh před podvržený MIME typ přílohy.
Záplata pro Outlook je na světě již velmi dlouho, stále je to ale viditelně účinná metoda útoku.
Bugbear není jen tak ledasjaký červík. Na počítači se nakopíruje do systémového adresáře Windows jako EXE soubor s různým třípísmenným názvem, vytvoří několik zakódovaných DLL a DAT souborů a nastaví spouštění vytvořeného souboru při startu systému. Dále se pokusí vypnout několik desítek antivirových a bezpečnostních programů, aby nebyl detekován a následně spustí šíření.
Prohledá na disku soubory s různými příponami, ve kterých by mohly být nějaké e-mailové adresy a pomocí vlastního SMT enginu se rozešle na nalezené adresy. Texty e-mailů a názvy přípon se berou z nakaženého systému. Často dostanete jakoby ukousnutý začátek e-mailu. Může také odeslat e-mail s informacemi o postiženém systému na adresu nastavenou v červovi. Otevře pak port 36794 a umožní hackerovi vzdáleně ovládat nakažený systém.
Podrobnější popis najdete třeba u Symantecu. Každopádně v případě tohoto červa platí: všichni, kdo při předcházejících útocích přijali preventivní opatření, jsou v pořádku a nic jim nehrozí. Ti ostatní by se nakazili, i kdyby to nebyl Bugbear, mají prostě neopravené systémy a otevírají jasně podezřelé typy souborů.
