美国网络联盟公司旗下的著名反病毒紧急响应小组AVERT (Anti-Virus Emergency Response Team)近期对最新发现的蠕虫病毒W32/Bugbear@MM进行了一次中级风险评估，发现大规模邮件蠕虫能更改安全程序设置。Bugbear是一种破坏性的大规模邮件蠕虫，通过网络共享和把自己发送到本地用户地址簿进行传播。该病毒还包含一个拥有注册密钥功能的后门特洛伊组件。它首次被McAfee AVERT英国研究实验室发现，并相继在美国、英格兰和印度发现。美国网络联盟公司(纽约证券交易所：NET)是全球著名的网络安全和网络可用性解决方案供

　　应商。

　　病毒症状

　　Bugbear是曾被激活的互联网蠕虫，并把自己发送到本地用户地址簿里找到的地址。当运行被感染的机器时，Bugbear就把自己复制到Windows的目标系统，成为以.EXE为扩展名的随机可执行文件。本地机器注册密钥的设置是为了挂起下次系统启动。蠕虫就把自己复制到被感染机器的启动文件夹中，作为***.EXE，其中***是一个随机文件。因为Bugbear使用了大量主题头街，用户必须立即删除包含下列主题头街的邮件：

　　主题包括

　　* Found

　　* Daily Email Reminder

　　* Just a reminder

　　* Lost

　　* Market Update Report

　　* Membership Confirmation

　　* Your News Alert

　　要想查看完整的潜在邮件主题行列表，请访问AVERT网站上的描述页面：vil.nai.com/vil/content/v_99728.htm.

　　邮件主体

　　信息主体和附件名称改变。附件名称包含一个象doc.pif.这样的双扩展名。发出的邮件在微软IE中使用不正确的MIME头街，并能导致IE在没有SP2的5.01或5.5版本下执行邮件附件。

　　特洛伊组件

　　Bugbear在被感染机器上打开端口36794，并且搜寻多种运行进程，一旦发现，就停止运行。运行进程包括许多流行的AV和个人防火墙产品。它向被感染机器丢下一个DLL-与注册密钥相关，这个DLL被探测为PWS-Hooker.dll。

　　一旦Bugbear感染一台计算机系统，它将试图去终止系统安全程序进程。

　　比如：

　　* ACKWIN32.exe

　　* CLEANER.exe

　　* ESPWATCH.exe

　　* FINDVIRU.exe

　　* F-AGNT95.exe

　　* NAVAPW32.exe

　　* RESCUE.exe

　　* SAFEWEB.exe

　　* ZONEALARM

　　要想查看完整的受影响安全程序清单，请访问AVERT网站上的描述页面：vil.nai.com/vil/content/v_99728.htm.

　　修复

　　该病毒的即时信息和修复可以通过McAfee AVERT网址在线获得vil.nai.com/vil/content/v_99728.htm. McAfee VirusScan用户应该从该页面升级他们的系统，并且使用4226 DAT文件来阻止潜在损坏。