Viruset heter denne gangen W32/Bugbear.A@mm, men opptrer også under navnet W32/Tanat.
Tilfeldig navn
I følge det norske datasikkerhetsselskapet Norman installerer ormen seg selv i Windows system katalogen under et tilfeldig navn og legger til en «registry key» som viser til seg selv:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce [filename]
Lager bakdør
Den vil også installere en tilfeldig navngitt bakdør komponent til Windows System katalogen. Ormen forsøker deretter å spre seg via e-post og nettverksressurser. Den sender seg selv til e-postadresser den finner fra forskjellige kilder i det infiserte systemet.
Svarer på e-post
Ormen har flere forskjellige navn og tekststrenger som den benytter til å lage e-post; i tillegg vil den også kunne svare på e-post i brukerens innboks og bruke tekst fra disse. Når den sprer seg over nettverk, ser den etter oppstartskataloger på andre maskiner og installerer seg selv på disse.
Norman og flere av deres konkurrenter er allerede klare med definisjonsfiler for deres antivirus-programmer som tar kål på uvesenet.
Annonse
