Panda Software er blant antivirusselskapene som nå anbefaler Windows-brukere om å være på vakt etter at ormen som har fått navnet Bugbear.B (W32/Bugbear.B), nylig ble oppdaget. Selskapet mener at denne utgaven er en enda farligere orm enn den opprinnelige, som utnyttet en gammel sårbarhet i Internet Explorer og Outlook - Exploit/iFrame - som Microsoft hadde tettet et halvannet år tidligere.
Bugbear.B er ifølge Panda Software designet for å spre seg rask via e-post ved å bruke sin egen SMTP-komponent og ved å infisere et stort antall systemfiler. E-post som inneholder ormen kan ha en tittel som minner om disse:
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
og et vedlegg med blant annet disse navnene:
data
song
music
video
photo
En mer omfattende over sikt finnes på denne siden.
Selv brødteksten i meldingen har til nå vist seg å være uten innhold.
Bugbear.B ser ut til å utnytte den samme sårbarheten i Internet Explorer og Outlook som forgjengeren gjorde. Det er stor grunn til å tro at mange ennå ikke har tettet dette hullet på sin PC.
Panda Softwar mener at den største faren ved ormen er at den forsøker å skru av et stort antall antivirus- og sikkerhetsprogrammer. I tillegg sletter den filer som kreves for at disse skal fungere.
Ormen åpner også en tjeneste på port 36794 som kan gi uvedkommende adgang til maskinen.
Et problem med Bugbear er at den er polymorf, det vil si at den endrer profil etter hvert som den spres. Det gjør det vanskelig for antivirusverktøyene å gjenkjenne den.
Norske Norman skriver i en foreløpig rapport at ormen inneholder omkring 1400 domenenavn, for det meste banker spredt over hele verden, også i Norge. Men selskapet vet foreløpig ikke hva disse er ment brukt til. Norman oppfordrer likevel banker til å være spesielt oppmerksomme.
Bugbear.B har de siste timene steget til andre plass på norske Virusfree.no sin liste over observerte virus og ormer de siste 24 timene. På førsteplass ligger "som alltid" Klez.h/Klez.i.
