发现新的蠕虫，Tanatos 变种“Tanatos.b” (aka Bugbear.b)。该版含有大量的破坏性功能，它可以感染保存在硬盘上很多程序的执行文件，同时还可以使被感染计算机上的机密信息外流。目前已发现了大量被感染案例。

　　蠕虫为Windows应用程序（PE EXE文件），大约72Kb（用UPX大包）。展开尺寸170Kb。是用Microsoft Visual C++写成。

　　在蠕虫体内包含有下列字段：

　　w32shamur

　　W32.Shamur

　　Tanatos

　　网络蠕虫Tanatos.b通过电子邮件附件传播，可以有不同的标题，正文和附件名。这些方案来自蠕虫自带的清单中。

　　蠕虫激活后，用偶然的文件名把自己复制到自动运进程序目录中，在Windows目录和系统目录，临时文件目录中生成自己的文件：

　　系统目录文件：

　　gpflmvo.dll – key logger DLL (大约6K)

　　zpknpzk.dll – 内部数据文件

　　shtchs.dll -内部数据文件

　　Windows目录文件：

　　%rnd name%.dat-内部数据文件

　　临时目录文件

　　vba%rnd%.tmp –被安装蠕虫的拷贝

　　蠕虫通过SMTP服务器发送自己，在机器上扫描，找出以下文件中包含的地址：*.ODS, INBOX.*, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX。

　　в директории "Program Files":

　　蠕虫具有极大的破坏性，感染Windows系统的应用程序和大量的流行的应用程序比如：Outlook Express, Internet Explorer，文件交换网的Kazza，网络寻呼机ICQ 和 MSN Messenger，各种工具FTP, CuteFTP, ACDSee, Adobe Acrobat, Adobe Acrobat Reader, Windows Media Player等。

　　具体的，在Program Files目录下感染：

　　winzip\winzip32.exe

　　kazaa\kazaa.exe

　　ICQ\Icq.exe

　　DAP\DAP.exe

　　Winamp\winamp.exe

　　AIM95\aim.exe

　　Lavasoft\Ad-aware 6\Ad-aware.exe

　　Trillian\Trillian.exe

　　Zone Labs\ZoneAlarm\ZoneAlarm.exe

　　StreamCast\Morpheus\Morpheus.exe

　　QuickTime\QuickTimePlayer.exe

　　WS_FTP\WS_FTP95.exe

　　MSN Messenger\msnmsgr.exe

　　ACDSee32\ACDSee32.exe

　　Adobe\Acrobat 4.0\Reader\AcroRd32.exe

　　CuteFTP\cutftp32.exe

　　Far\Far.exe

　　Outlook Express\msimn.exe

　　Real\RealPlayer\realplay.exe

　　Windows Media Player\mplayer2.exe

　　WinRAR\WinRAR.exe

　　adobe\acrobat 5.0\reader\acrord32.exe

　　Internet Explorer\iexplore.exe

　　在Windows目录下感染：

　　winhelp.exe

　　notepad.exe

　　hh.exe

　　mplayer.exe

　　regedit.exe

　　scandskw.exe

　　除此之外，该版蠕虫有后门，可以使病毒作者获得系统访问权，获取机密信息。为了打开后门，蠕虫开放被感染机器的1080端口，通过该端口可进行以下操作：

　　传递硬盘的内容；

　　拷贝，运行，删除文件；

　　通知激活的程序，关闭它们；

　　把键盘捕获的信息传给病毒作者；

　　安装上http服务器

　　Tanatos的第一个版本是在2002年9月发现的，在全球引发了很多感染事件。