Esta variante del Bugbear (o Tanatos), es un gusano de envío masivo con capacidad de propagarse también a través de recursos compartidos en red. Infecta archivos con extensión .EXE y finaliza los procesos de conocidos antivirus y cortafuegos que se estén ejecutando en ese momento.

Posee algunas características de troyano, que le permiten entre otras cosas, capturar lo tecleado por la víctima, obteniendo de este modo información confidencial.

Cómo se aprovecha de una vieja vulnerabilidad de algunas versiones del Outlook, puede ejecutarse con solo leerlo, o examinarlo en la vista previa.

El adjunto es un archivo con doble extensión, con un nombre al azar ya que corresponde a algún archivo de la víctima infectada (al que se le agrega la extensión .EXE, .SCR o .PIF).

Se presenta en un mensaje con una dirección falsa (obtenida de la máquina de la víctima), y en ocasiones el mensaje puede ser una respuesta a algún mensaje enviado por nosotros a la víctima.

La mayoría de las veces el mensaje recibido puede ser normal (una respuesta a otro enviado por nosotros o por otra persona al usuario infectado). Generalmente en español, y con un texto relacionado con temas que despiertan nuestra curiosidad.  Esta característica lo vuelve sumamente peligroso por su gran nivel de propagación al valerse de este tipo de ingeniería social.

En raras ocasiones, puede ser uno con el cuerpo en blanco y alguno de los siguientes asuntos:

  $150 FREE Bonus!
  25 merchants and rising
  Announcement
  bad news
  CALL FOR INFORMATION!
  click on this!
  Correction of errors
  Cows
  Daily Email Reminder
  empty account
  fantastic
  free shipping!
  Get 8 FREE issues - no risk!
  Get a FREE gift!
  Greets!
  Hello!
  Hi!
  history screen
  hmm..
  I need help about script!!!
  Interesting...
  Introduction
  its easy
  Just a reminder
  Lost & Found
  Market Update Report
  Membership Confirmation
  My eBay ads
  New bonus in your cash account
  New Contests
  new reading
  News
  Payment notices
  Please Help...
  Re:
  Report
  SCAM alert!!!
  Sponsors needed
  Stats
  Today Only
  Tools For Your Online Business
  update
  various
  Warning!
  wow!
  Your Gift
  Your News Alert

Puede infectar archivos pertenecientes a conocidos componentes de Windows, además de otros conocidos programas (ACDSee32, Acrobat 4.0, CuteFTP, Download Accelerator, ICQ, Internet Explorer, KaZaa, MSN Messenger, Outlook Express, Outpost, QuickTime, RealPlayer, Winamp, Windows Media Player, WinRAR, WinZip, WS_FTP, ZoneAlarm, etc.

Como troyano, además de capturar lo tecleado por la víctima (incluye datos sensibles como tarjeta de crédito, contraseñas, etc.), puede además permitir que un atacante tome el control de la computadora infectada, incluso con la capacidad de manejar archivos.

Esta descripción está ampliada en nuestra Enciclopedia. Nod32 ya reconoce este gusano en todas sus variantes actuales.