Scoperto soltanto lo scorso 30 settembre 2002, il W32.Bugbear@mm si sta diffondendo a macchia d’olio.
Si tratta di un mass-mailing worm (cioè una minaccia che si distribuisce su vasta scala tramite posta elettronica). E’ anche in grado di propagarsi su condivisioni di rete; memorizza ciò che viene digitato tramite tastiera; ha funzionalità di backdoor (vale a dire: consente il controllo remoto del computer da parte di terzi) cerca di interrompere i processi di numerosi programmi antivirus e firewall.
Poiché il worm non gestisce correttamente i vari tipi di risorse di rete è possibile che ingombri le risorse della stampante, provocando stampe sbagliate o comunque compromettendo il normale funzionamento della stampante.
W32.Bugbear@mm è scritto in linguaggio Microsoft Visual C++ 6 ed è compresso mediante UPX v0.76.1-1.22 e utilizza il proprio motore SMTP per auto-inviarsi a tutti gli indirizzi di posta elettronica trovati. E’ anche in grado di costruire indirizzi a partire dal campo “Mittente”, utilizzando informazioni estratte dal computer infetto. Poniamo ad esempio che trovi gli indirizzi a@a.com, b@b.com e c@c.com. A questo punto il worm è in grado di creare un messaggio di posta elettronica indirizzato ad a@a.com, facendo credere che sia stato inviato da c@b.com.
Queste formazioni sono fornite da Symantec all’indirizzo http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/it-w32.bugbear@mm.html dove sono disponibili anche le istruzioni per la rimozione del W32.Bugbear@mm.


