Virus Win32/BugBear.B se objevil rßno 5.6.2003 a b∞hem chvφle se dokßzal obrovskou rychlostφ rozÜφ°it po celΘm sv∞t∞. Äßdn² jin² virus Üφ°φcφ se elektronickou poÜtou to nedokßzal tak rychle, jako prßv∞ Win32/BugBear.B.

Win32/BugBear.B se Üφ°φ elektronickou poÜtou. Infikovan² soubor je p°ipojen k e-mailu jako soubor o dΘlce 72192 bajt∙ (vnit°n∞ komprimovßn utilitou UPX) a jeho nßzev obsahuje dv∞ p°φpony. P°i troÜe sm∙ly se zobrazφ pouze prvnφ z nich, tak₧e soubor vypadß dosti nevinn∞.

Pokud dojde ke spuÜt∞nφ tohoto souboru, virus se usadφ v adresß°i Windows \ System a to se zcela nßhodn²m jmΘnem (jeden .EXE a druh² .DLL). DalÜφ je pak umφst∞n do adresß°e Start Menu \ Programs \ Startup (.EXE).

Krom∞ toho jsou vyhledßvßny nßsledujφcφ konkrΘtnφ soubory, p°es kterΘ m∙₧e taky dojφt ke vzdßlenΘ infekci poΦφtaΦe, kter² je v rßmci LAN nevhodn∞ sφ¥ov∞ nasdφlen.

%ProgramFilesDir%\winzip\winzip32.exe
%ProgramFilesDir%\kazaa\kazaa.exe
%ProgramFilesDir%\ICQ\Icq.exe
%ProgramFilesDir%\DAP\DAP.exe
%ProgramFilesDir%\Winamp\winamp.exe
%ProgramFilesDir%\AIM95\aim.exe
%ProgramFilesDir%\Lavasoft\Ad-aware 6\Ad-aware.exe
%ProgramFilesDir%\Trillian\Trillian.exe
%ProgramFilesDir%\Zone Labs\ZoneAlarm\ZoneAlarm.exe
%ProgramFilesDir%\StreamCast\Morpheus\Morpheus.exe
%ProgramFilesDir%\QuickTime\QuickTimePlayer.exe
%ProgramFilesDir%\WS_FTP\WS_FTP95.exe
%ProgramFilesDir%\MSN Messenger\msnmsgr.exe
%ProgramFilesDir%\ACDSee32\ACDSee32.exe
%ProgramFilesDir%\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
%ProgramFilesDir%\CuteFTP\cutftp32.exe
%ProgramFilesDir%\Far\Far.exe
%ProgramFilesDir%\Outlook Express\msimn.exe
%ProgramFilesDir%\Real\RealPlayer\realplay.exe
%ProgramFilesDir%\Windows Media Player\mplayer2.exe
%ProgramFilesDir%\WinRAR\WinRAR.exe
%ProgramFilesDir%\adobe\acrobat 5.0\reader\acrord32.exe
%ProgramFilesDir%\Internet Explorer\iexplore.exe
%WinDir%\winhelp.exe
%WinDir%\notepad.exe
%WinDir%\hh.exe
%WinDir%\mplayer.exe
%WinDir%\regedit.exe
%WinDir%\scandskw.exe

Virus likviduje obrovskΘ mno₧stvφ pam∞¥ov²ch proces∙ a to vΦetn∞ velkΘ spousty antivirov²ch systΘm∙. Pokud byl v dob∞ infekce pro antivirus neznßm² (co₧ vzhledem k rychlosti Üφ°enφ nelze vylouΦit), je velice pravd∞podobnΘ, ₧e byl antivirus usmrcen do doby, ne₧ dojde k odstran∞nφ viru Win32/BugBear.B. VybranΘ existujφcφ procesy jsou likvidovßny v intervalech po 20 sekundßch.

Virus Win32/BugBear.B se dokß₧e p°ipojit i k ji₧ existujφcφm e-mail∙m, tak₧e p°φchozφ zprßva m∙₧e vypadat na prvnφ pohled velice nevinn∞.

Virus Win32/BugBear.B si s sebou nese backdoora, tj. program, umo₧≥ujφcφ p°φpadnΘmu ·toΦnφkovi p°evzφt vzdßlenou kontrolu nad PC. Na portu 1080 pak m∙₧e vzdßlen∞ kopφrovat Φi mazat soubory, vypφnat aplikace, spouÜt∞t programy, sledovat stisknutΘ klßvesy apod.

Specißlnφ pΘΦe je pak v∞novßna n∞kter²m bankovnφm institucφm (zjiÜ¥uje, zda poΦφtaΦ je p°ipojen do domΘny v seznamu, kter² si s sebou nese). Modifikacφ klφΦe [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings] "EnableAutodial" = dword:00000001 v registrech se postarß o stßlou dostupnost danΘho poΦφtaΦe a o jednoduÜÜφ p°φstup ke slu₧bßm v²Üe uvedenΘho backdooru.

Jedno·Φelov² antivirus:

N∞kolik dobr²ch rad:

P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

Postup pro Windows ME: