Служба мониторинга вирусной активности ЗАО "ДиалогНаука" констатирует, что впервые, начиная с апреля 2002 года, когда мир захлестнула эпидемия Win32.HLLM.Klez.4, на первом месте в вирусной статистике, отражающей присутствие вирусов в почтовом трафике, появился новый "лидер" - почтовый червь массовой рассылки Win32.HLLM.Bugbear.
Казалось, потеснить Klez.4 просто невозможно. Однако за первые три дня октября новый почтовый червь опроверг этот тезис - по данным на третье октября, Win32.HLLM.Bugbear забирает на себя от 51% до 68% всего зараженного почтового трафика.
Будучи во многом похожим на Klez.4, в частности, с точки зрения использования уязвимости некоторых почтовых клиентов Microsoft, а также очень агрессивного поведения по отношению к установленным на компьютерах антивирусным программам и брандмауэрам, новый червь не пользуется для своего распространения заранее определенными SMTP-серверами, как это делает Klez.4, а получает данные об SMTP-сервере из системного реестра зараженного компьютера.
Вирус Bugbear, как и наделавший шуму совсем недавно Klez.H, заметить очень сложно. Он прибывает в почтовые ящики пользователей Microsoft Outlook в виде письма, автор которого определяется случайным образом. Единственный признак того, что до компьютера добрался Bugbear, - приложение размером в 50.688 байт.
Win32.HLLM.Bugbear написан на языке программирования высокого уровня Microsoft Visual C/C++ и упакована упаковщиком UPX. Программа содержит в себе троянский компонент и после попадания на компьютер открывает в пораженной системе люк, что может привести к утечке конфиденциальной информации с компьютера пользователя. Предпринимает также попытки завершить работу некоторых антивирусных программ и межсетевых экранов (брандмауэров).
Червь также открывает порт 36794, по которому начинает слушать Интернет в ожидании комманд своего "хозяина". Данный троянский компонент червя позволяет ему также загружать и выгружать из сестемы файлы, приводить в действие команды, запуская или прекращая работу исполняемых файлов.