Win32/BugBear.A

Win32/BugBear.A je Internetovým wormem, vytvořeným v programovacím jazyce Microsoft C a zabaleným programem UPX. Worm je dlouhý 50688 slabik a šíří se pomocí elektronické pošty a po sdílených discích lokální sítě. Do systému navíc instaluje trojského koně, který je schopen zaznamenávat stisknuté klávesy a odpovídat na povely zvenčí. Worm přichází jako náhodně pojmenovaný soubor připojený ke zprávě. Předmět a obsah zprávy mohou být velmi různorodé, dokonce v různých jazycích. Worm využívá dlouho známé bezpečnostní díry IFrame, která umožňuje automatické spuštění v systémech, které nejsou správným způsobem opraveny pomocí příslušné záplaty firmy Microsoft.

Po spuštění infikovaného souboru se worm nakopíruje do adresáře WINDOWS\SYSTEM pod náhodným čtyřznakovým jménem, pak se nakopíruje do adresáře Windows STARTUP pod náhodným tříznakovým jménem. Pak se pokouší rozšířit po lokální síti na vzdálené počítače, které mají nastavené sdílené disky, a to pod náhodným tříznakovým jménem. Také otevírá port 36794 a poslouchá, zda nepřicházejí povely zvenčí. Worm pak vypustí trojského koně - program pro zaznamenávání stisknutých kláves - a to do následujících souborů: C:\WINDOWS\SYSTEM\ICCYOA.DLL, C:\WINDOWS\SYSTEM\LGGUQAA.DLL, C:\WINDOWS\SYSTEM\ROOMUAA.DLL, C:\WINDOWS\OKKQSA.DAT a C:\WINDOWS\USSOWA.DAT. Při šíření po lokální síti může worm způsobit tisk nesmyslných znaků na síťových tiskárnách.

Worm vytváří následující položku v registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\"tie" = "****.EXE" 

Worm se také snaží vyřadit z činnosti řadu antivirových programů a firewallů:
_AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, ACKWIN32.EXE, ANTI-TROJAN.EXE, APVXDWIN.EXE, AUTODOWN.EXE, AVCONSOL.EXE, AVE32.EXE, AVGCTRL.EXE, AVKSERV.EXE, AVNT.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPDOS32.EXE, AVPM.EXE, AVPTC32.EXE, AVPUPD.EXE, AVSCHED32.EXE, AVWIN95.EXE, AVWUPD32.EXE, BLACKD.EXE, BLACKICE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLAW95.EXE, CLAW95CF.EXE, CLEANER.EXE, CLEANER3.EXE, DVP95.EXE, DVP95_0.EXE, ECENGINE.EXE, ESAFE.EXE, ESPWATCH.EXE, F-AGNT95.EXE, F-PROT.EXE, F-PROT95.EXE, F-STOPW.EXE, FINDVIRU.EXE, FP-WIN.EXE, FPROT.EXE, FRW.EXE, IAMAPP.EXE, IAMSERV.EXE, IBMASN.EXE, IBMAVSP.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFACE.EXE, IOMON98.EXE, JEDI.EXE, LOCKDOWN2000.EXE, LOOKOUT.EXE, LUALL.EXE, MOOLIVE.EXE, MPFTRAY.EXE, N32SCANW.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVNT.EXE, NAVW32.EXE, NAVWNT.EXE, NISUM.EXE, NMAIN.EXE, NORMIST.EXE, NUPGRADE.EXE, NVC95.EXE, OUTPOST.EXE, PADMIN.EXE, PAVCL.EXE, PAVSCHED.EXE, PAVW.EXE, PCCWIN98.EXE, PCFWALLICON.EXE, PERSFW.EXE, RAV7.EXE, RAV7WIN.EXE, RESCUE.EXE, SAFEWEB.EXE, SCAN32.EXE, SCAN95.EXE, SCANPM.EXE, SCRSCAN.EXE, SERV95.EXE, SMC.EXE, SPHINX.EXE, SWEEP95.EXE, TBSCAN.EXE, TCA.EXE, TDS2-98.EXE, TDS2-NT.EXE, VET95.EXE, VETTRAY.EXE, VSCAN40.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSSTAT.EXE, WEBSCANX.EXE, WFINDV32.EXE a ZONEALARM.EXE.

Worm se pak snaží najít další oběti - hledá emailové adresy v adresáři Windows a v souborech na disku, které mají následující přípony: MMF, NCH, MBX, EML, TBB a DBX. Pro posílání sebe sama používá svoji vlastní SMTP rutinu, která se snaží najít vhodný SMTP server na následující položce v registry:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts

Worm falšuje pole FROM (Od) podobně, jako to dělá virus Win32/Klez.H. Je proto takřka nemožné zjistit skutečného odesílatele infikované zprávy, a tak najít infikovaný počítač.

Odstranění:
Smažte všechny programy napadené a vytvořené virem Win32:BugBear. Pokud je virus aktivní, přístup k některým souborům může být zablokován. Proto je potřeba napřed worm deaktivovat - buď přes Task Manager nebo odstraněním jeho klíče v registry a nabootováním počítače.

Jednodušší možností je spustit jednoúčelový antivirus ze stránky "1.Pomoc"