Bugbear - robak i backdoor w jednym
Rozprzestrzenia się za pomocą poczty elektronicznej oraz poprzez udostępnione zasoby w sieci lokalnej. Zwykle pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego. Parametry tego listu są bardzo różne, ponieważ komponowany jest on na podstawie prawdziwego listu znajdującego się w programie pocztowym zainfekowanego nadawcy.
Plik robaka znajdujący się w załączniku posiada dwa rozszerzenia, z czego drugie jest jednym z następujących: scr, pif, exe...
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku, w katalogu systemowym Windows swoją kopię w pliku o losowej nazwie [cztery losowe znaki].exe. Dodatkowo tworzona jest kopia w katalogu Autostartu w pliku o nazwie [trzy losowe znaki].exe. Szkodnik tworzy też na dysku kilka plików pomocniczych o następujących nazwach: iccyoa.dll, lgguqaa.dll, roomuaa.dll, okkqsa.dat, ussiwa.dat.
W kolejnym etapie swego działania robak wyłącza kilka programów antywirusowych i firewalli. Pełną listę deaktywowanych aplikacji znaleźć można na stronie http://www.mks.com.pl/baza.html?show=description&id=2023
(źródło: Web Express: http://weinfo.pl)
