【日经BP社报道】美国Network Associates于当地时间6月5日发出警告，将电子邮件蠕虫“怪物”（又名Bugbear.B或“W32/Bugbear,b@MM”）的危险度定为“高”。芬兰的F-Secure以及英国的MessageLabs也对该蠕虫发出了警告。

　　Network Associates公司最早是在6月3日检测到“怪物”的，目前该蠕虫已经对包括北美和欧洲在内的多个国家造成损失。F-Secure公司最早是在芬兰时间6月5日的早上检测到的。另外MessageLabs公司表示已经在106个国家共收到3万5000件报告。

　　“怪物”通过电子邮件向登记在本地系统地址簿中的用户发送自身的复制文件。发件人地址可以是别人的或者是伪造的，发件人地址的主人不一定是受感染用户。另外“怪物”从扩展名为“.DBX”、“.EML”、“INBOX”、“.MBX”、“.MMF”、“.NCH”、“.ODS”以及“.TBB”的文件中筛选出任意的电子邮件地址进行发送。

　　此外，“怪物”还可以通过网络共享扩大感染。利用缺省SMTP引擎在启动文件夹中建立非标准的“.EXE”文件，然后可以进一步打开TCP端口1080。

　　“怪物”中包含如下与银行相关的域名清单。

　　-- 1natbanker.com

　　-- 1nationalbank.com

　　-- 1stfederal.com

　　-- 1stnatbank.com

　　-- 1stnationalbank.com

　　-- 365online.com 53.com

　　电子邮件的主题名有多种。其中主要包括以下几种。

　　-- Announcement

　　-- Daily Email Reminder

　　-- fantastic

　　-- free shipping!

　　-- Get 8 FREE issues -- no risk!

　　-- Get a FREE gift!

　　-- Hello!

　　-- Hi!

　　-- hmm..

　　-- Interesting...

　　-- Introduction

　　-- Just a reminder

　　-- Lost & Found

　　-- Market Update Report

　　电子邮件的正文和附件名也有多种。在附件名中可能包含“Card”、“Docs”、“image”、“images”、“music”、“news”、“photo”、“pics”、“readme”、“resume”、“Setup”、“song”或者“video”等单词。

　　“怪物”在发作以后，将使如下安全性程序失效。

　　-- ACKWIN32.exe

　　-- ANTI-TROJAN.exe

　　-- AUTODOWN.exe

　　-- AVE32.exe

　　-- AVKSERV.exe

　　-- AVPDOS32.exe

　　-- AVPM.exe

　　-- BLACKICE.exe

　　-- SAFEWEB.exe

　　-- SCANPM.exe

　　-- SCRSCAN.exe

　　-- SERV95.exe

　　-- VET95.exe

　　-- VETTRAY.exe

　　-- VSCAN40.exe

　　-- ZONEALARM.exe

　　此外，“怪物”还将在注册表中写入以下内容来取得程序文件路径。

　　-- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Program

　　-- FilesDir

　　将偿试感染以下文件。

　　-- hh.exe

　　-- mplayer.exe

　　-- notepad.exe

　　-- regedit.exe

　　-- scandskw.exe

　　-- winhelp.exe

　　-- ACDSee32\ACDSee32.exe

　　-- Adobe\Acrobat 4.0\Reader\AcroRd32.exe

　　-- adobe\acrobat5.0\reader\acrord32.exe

　　-- AIM95\aim.exe

　　-- CuteFTP\cutftp32.exe

　　“‘怪物’利用了多种技术，是一种十分狡猾的蠕虫。除了具有UPX压缩、利用随机键加密、后门、Key Locking以及发送大量电子邮件等功能以外，还具有网络蠕虫的所有功能”（F-Secure公司的产品经理、Mikael Albrecht）