Ve čtvrtek se začala mohutně šířit nová varianta červa Bugbear. Šíří se e-mailem i LAN sítí, obsahuje zadní vrátka a špiona zaznamenávajícího práci s klávesnicí. Ukončuje procesy mnoha různých produktů antivirového software a firewallů (od AVP až po ZoneAlarm).
Stejně jako jeho staršího bratr, který se mohutně šířil v říjnu loňského roku, jej nelze lehce rozpoznat. Snad jen podle velikosti přílohy. Pokaždé přijde originál; mění názvy souboru přílohy, odesílatele, předmět i obsah zpráv.
Adresa odesilatele je podvržená a vzniká kombinací textu před zavináčem a domény ze dvou různých e-mailových adres. Názvy předmětů si vybírá z dlouhého interního seznamu a navíc používá předměty zpráv z napadeného systému před které někdy přidá Re: nebo Fw: . Také text zprávy vykrádá ze systému na kterém byl spuštěn.
Soubor přílohy o velikosti 73,2 kB má koncovku .SCR, .PIF nebo .EXE. Většinou je zdvojená. Při pojmenování souboru přílohy se červ „inspiruje“ názvy existujících souborů na disku napadeného systému.
Červ se v některých exemplářích pokouší použít „triku“ pro automatické spuštění přílohy pouhým otevřením zprávy nebo jen jejího náhledu. Na nezáplatovaných systémech se mu to daří. Záplata je už stará více než 2 roky. Aplikujte kumulativní záplatu na IE červen 2003 Q818529.
Po spuštění se zkopíruje pod náhodným jménem do složky Windows\System a složky pro automatické spuštění aplikací po startu Windows.
Do této složky se snaží dostat i na sdílených a síťových discích. Nedělá to však hned, po infikaci místní instance Windows si dá chvíli pauzu.
Napadá pevně dané (známé) aplikace:
scandskw.exe
regedit.exe
mplayer.exe
hh.exe
notepad.exe
winhelp.exe
Internet Explorer\iexplore.exe
adobe\acrobat 5.0\reader\acrord32.exe
WinRAR\WinRAR.exe
Windows Media Player\mplayer2.exe
Real\RealPlayer\realplay.exe
Outlook Express\msimn.exe
Far\Far.exe
CuteFTP\cutftp32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
ACDSee32\ACDSee32.exe
MSN Messenger\msnmsgr.exe
WS_FTP\WS_FTP95.exe
QuickTime\QuickTimePlayer.exe
StreamCast\Morpheus\Morpheus.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
Trillian\Trillian.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
AIM95\aim.exe
Winamp\winamp.exe
DAP\DAP.exe
ICQ\Icq.exe
kazaa\kazaa.exe
winzip\winzip32.exe
Trojský kůň který instaluje do systému čeká na příkazy útočníka na TCP portu 1080.
V žebříčku MessageLabs v současné době figuruje na 1. místě. Za ním je druhá novinka tohoto měsíce – Sobig.C.
