国家计算机病毒应急处理中心通过对互联网的监测，于2002年10月1日发现一种新型的蠕虫病毒，经分析证实该蠕虫病毒是国外正在流行的Win32/Bugbear(妖怪)病毒。

　　该病毒是通过感染电子邮件传播的蠕虫病毒。用VC++写成，长度为50688字节 (以UPX方式压缩)，它的基本特征如下：

　　(1)复制自己到Windows系统目录并生成随机的文件名（如jmvy.exe），然后在注册表

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce 里添加键值，使自己可以在下次开机后自动运行。

　　(2)释放一个DLL文件到Windows系统目录并生成随机的文件名（如zqpgppu.dll），用以监测键盘和鼠标输入。

　　(3)开启一个后门程序，打开36794端口监听被感染机器，可远程执行诸如发送接收文件，发送用户信息，执行指定文件，关闭程序等操作。

　　(4)该蠕虫会遍历局域网并搜索其中是否包含可写的系统启动目录，如果有就复制自己到该目录。

　　(5)在没有打补丁的机器上，该蠕虫会利用IFrame漏洞感染传播。

　　(6)搜索后缀名为*.ODS, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX的文件中的Email地址，通过系统默认的SMTP服务器发送带有该蠕虫的邮件，并随机选择用户机器中的文件做为邮件内容，随机生成附件名。邮件主题可能是下列中的一个：

　　$150 FREE Bonus!

　　Greets!

　　Get 8 FREE issues - no risk!

　　Hi!

　　Your News Alert

　　Re:

　　Your Gift

　　New bonus in your cash account

　　Tools For Your Online Business

　　Daily Email Reminder

　　News

　　free shipping!

　　its easy

　　Warning!

　　SCAM alert!!!

　　Sponsors needed

　　new reading

　　CALL FOR INFORMATION!

　　25 merchants and rising

　　Cows

　　My eBay ads

　　empty account

　　Market Update Report

　　click on this!

　　fantastic

　　wow!

　　bad news

　　Lost & Found

　　New Contests

　　Today Only

　　Get a FREE gift!

　　Membership Confirmation

　　Report

　　Please Help...

　　Stats

　　I need help about script!!!

　　Interesting...

　　Introduction

　　various

　　Announcement

　　history screen

　　Correction of errors

　　Just a reminder

　　Payment notices

　　hmm..

　　update

　　Hello!

　　附件：该蠕虫邮件的附件通常包含以下一些单词和一个双后缀名（如.jpg.exe）：

　　CARD, DATA, DOCS, IMAGE, IMAGES, MUSIC, NEWS, PHOTO, PICS, README, RESUME, SETUP, SONG, VIDEO.

　　(7)蠕虫会搜索下面的程序并试图关闭它们：

　　ZONEALARM.EXE WFINDV32.EXE WEBSCANX.EXE VSSTAT.EXEVSHWIN32.EXE VSECOMR.EXE VSCAN40.EXE VETTRAY.EXE[未结束]