Posee algunas características de troyano, que le permiten entre otras cosas, capturar lo tecleado por la víctima, obteniendo de este modo información confidencial.

Cómo se aprovecha de una vieja vulnerabilidad de algunas versiones del Outlook, puede ejecutarse con solo leerlo, o examinarlo en la vista previa.

Se recomienda actualizar las versiones vulnerables:

  IE 5.0 y anteriores (no soportados por Microsoft, no hay parche)
  IE 5.01 a IE 5.5 (usar actualización acumulativa MS03-020)

Internet Explorer 6.0 y superior es invunerable a esta falla.

El adjunto del gusano es un archivo con doble extensión, con un nombre al azar ya que corresponde a algún archivo de la víctima infectada (al que se le agrega la extensión .EXE, .SCR o .PIF).

Se presenta en un mensaje con una dirección falsa. La mayoría de las veces es un mensaje ya enviado.

Las direcciones de remitente y destinatario son tomadas de archivos en la computadora infectada (en ocasiones una respuesta a otro enviado por nosotros o por otra persona al usuario infectado).

Por lo tanto la mayoría de los mensajes infectados que recibimos pueden ser de cualquier persona con la que hayamos intercambiado algún correo, o cualquiera que tenga algún email donde figure nuestra dirección (causado generalmente por el envío de cadenas no solicitadas con las direcciones de todos los destinatarios expuestas). Estas condiciones hacen que la mayoría de las veces estos mensajes se encuentren en español, y por lo general sean de temas conocidos o que despierten nuestra curiosidad, lo que hace que el nivel de propagación del gusano sea sumamente alto.

En otras ocasiones, podemos recibir un mensaje con el cuerpo en blanco y uno de los siguientes asuntos (ésta condición fue la predominante en las primeras infecciones, pero actualmente es una opción secundaria, pocas veces vista):

  $150 FREE Bonus!
  25 merchants and rising
  Announcement
  bad news
  CALL FOR INFORMATION!
  click on this!
  Correction of errors
  Cows
  Daily Email Reminder
  empty account
  fantastic
  free shipping!
  Get 8 FREE issues - no risk!
  Get a FREE gift!
  Greets!
  Hello!
  Hi!
  history screen
  hmm..
  I need help about script!!!
  Interesting...
  Introduction
  its easy
  Just a reminder
  Lost & Found
  Market Update Report
  Membership Confirmation
  My eBay ads
  New bonus in your cash account
  New Contests
  new reading
  News
  Payment notices
  Please Help...
  Re:
  Report
  SCAM alert!!!
  Sponsors needed
  Stats
  Today Only
  Tools For Your Online Business
  update
  various
  Warning!
  wow!
  Your Gift
  Your News Alert

El adjunto puede tener cualquier nombre tomado de otro archivo de la computadora de la víctima, pero con un tamaño que suele ser de 72,192 bytes y con doble extensión. La segunda puede ser una de las siguientes:

  .EXE
  .SCR
  .PIF
  .INI

Los archivos son tomados de la carpeta "Mis documentos", buscados entre todos aquellos cuyas extensiones son las siguientes (esto significa que la primera extensión del adjunto será una de estas):

  .bat
  .bmp
  .c
  .com
  .cpl
  .cpp
  .diz
  .dll
  .exe
  .gif
  .h
  .htm
  .html
  .ini
  .jpeg
  .jpg
  .lnk
  .reg
  .sys
  .txt
  .vxd

También puede suceder que algunos mensajes enviados por el gusano, contengan un adjunto corrupto (generalmente más corto que los 72 Kb que suele tener cuando contiene al gusano activo). Estos mensajes son inofensivos, sin embargo pueden crear preocupación entre algunos usuarios. Por ello, la mayoría de los antivirus lo reconocen como  Bugbear.B.corrupted o Bugbear.B.damaged (o Tanatos.corrupted), o agregándole al nombre la extensión .DAM (de "dañado" -damaged- en inglés). También pueden aparecer mensajes enviados por el gusano sin adjunto alguno. Seguramente este comportamiento es un error del código del gusano, o una incompatibilidad con el sistema operativo.

Cuando se ejecuta, se copia con el mismo nombre o similares en la carpeta de inicio, y crea otro archivo con extensión .DLL de 5,632 bytes en la carpeta System. Este segundo archivo es el encargado de las funciones de "keylogger".

También crea una carpeta bajo el directorio System de Windows, donde guarda la información robada. Estos datos son accesibles para cualquiera que acceda a esa carpeta (puede hacerse en forma remota con las rutinas troyanizadas del propio gusano).

Las direcciones utilizadas para remitente y destinatario son tomadas de archivos o carpetas que contengan las siguientes cadenas en su nombre:

  .dbx
  .eml
  .mbx
  .mmf
  .nch
  .ods
  .tbb
  inbox

Bugbear.B evita enviar mensajes a direcciones que coincidan con ciertas cadenas incluidas en una lista negra incluida en su código:

  list
  localdomain
  localhost
  lyris
  mailer-daemon
  majordom
  nobody@
  noreply
  postmaster@
  recipients
  remove
  root@
  spam
  talk
  ticket
  trojan
  undisclosed
  virus

El gusano puede infectar los siguientes archivos, todos pertenecientes a conocidos componentes de Windows:

  hh.exe
  mplayer.exe
  notepad.exe
  regedit.exe
  scandskw.exe
  winhelp.exe

Además infecta los siguientes archivos en la carpeta "C:\Archivos de programa":

  ACDSee32\ACDSee32.exe
  Adobe\Acrobat 4.0\Reader\AcroRd32.exe
  adobe\acrobat 5.0\reader\acrord32.exe
  AIM95\aim.exe
  CuteFTP\cutftp32.exe
  DAP\DAP.exe
  Far\Far.exe
  ICQ\Icq.exe
  Internet Explorer\iexplore.exe
  kazaa\kazaa.exe
  Lavasoft\Ad-aware 6\Ad-aware.exe
  MSN Messenger\msnmsgr.exe
  Outlook Express\msimn.exe
  QuickTime\QuickTimePlayer.exe
  Real\RealPlayer\realplay.exe
  StreamCast\Morpheus\Morpheus.exe
  Trillian\Trillian.exe
  Winamp\winamp.exe
  Windows Media Player\mplayer2.exe
  WinRAR\WinRAR.exe
  winzip\winzip32.exe
  WS_FTP\WS_FTP95.exe
  Zone Labs\ZoneAlarm\ZoneAlarm.exe

Intenta finalizar alguno de los siguientes procesos antivirus:

  _avp32.Exe
  _avpcc.Exe
  _avpm.Exe
  Ackwin32.Exe
  Anti-Trojan.Exe
  Apvxdwin.Exe
  Autodown.Exe
  Avconsol.Exe
  Ave32.Exe
  Avgctrl.Exe
  Avkserv.Exe
  Avnt.Exe
  Avp.Exe
  Avp32.Exe
  Avpcc.Exe
  Avpdos32.Exe
  Avpm.Exe
  Avptc32.Exe
  Avpupd.Exe
  Avsched32.Exe
  Avwin95.Exe
  Avwupd32.Exe
  Blackd.Exe
  Blackice.Exe
  Cfiadmin.Exe
  Cfiaudit.Exe
  Cfinet.Exe
  Cfinet32.Exe
  Claw95.Exe
  Claw95cf.Exe
  Cleaner.Exe
  Cleaner3.Exe
  Dvp95.Exe
  Dvp95_0.Exe
  Ecengine.Exe
  Esafe.Exe
  Espwatch.Exe
  F-Agnt95.Exe
  Findviru.Exe
  F-Prot.Exe
  Fprot.Exe
  F-Prot95.Exe
  Fp-Win.Exe
  Frw.Exe
  F-Stopw.Exe
  Iamapp.Exe
  Iamserv.Exe
  Ibmasn.Exe
  Ibmavsp.Exe
  Icload95.Exe
  Icloadnt.Exe
  Icmon.Exe
  Icsupp95.Exe
  Icsuppnt.Exe
  Iface.Exe
  Iomon98.Exe
  Jedi.Exe
  Lockdown2000.Exe
  Lookout.Exe
  Luall.Exe
  Moolive.Exe
  Mpftray.Exe
  N32scanw.Exe
  Navapw32.Exe
  Navlu32.Exe
  Navnt.Exe
  Navw32.Exe
  Navwnt.Exe
  Nisum.Exe
  Nmain.Exe
  Normist.Exe
  Nupgrade.Exe
  Nvc95.Exe
  Outpost.Exe
  Padmin.Exe
  Pavcl.Exe
  Pavsched.Exe
  Pavw.Exe
  Pccwin98.Exe
  Pcfwallicon.Exe
  Persfw.Exe
  Rav7.Exe
  Rav7win.Exe
  Rescue.Exe
  Safeweb.Exe
  Scan32.Exe
  Scan95.Exe
  Scanpm.Exe
  Scrscan.Exe
  Serv95.Exe
  Smc.Exe
  Sphinx.Exe
  Sweep95.Exe
  Tbscan.Exe
  Tca.Exe
  Tds2-98.Exe
  Tds2-Nt.Exe
  Vet95.Exe
  Vettray.Exe
  Vscan40.Exe
  Vsecomr.Exe
  Vshwin32.Exe
  Vsstat.Exe
  Webscanx.Exe
  Wfindv32.Exe
  Zonealarm.Exe

Para no ejecutarse varias veces en memoria, el gusano crea un mutex (semáforo) cn el nombre de "w32shamur", que le indica cuando está activo.

Algunos síntomas de una infección son la aparición de un doble tilde al pretender escribir un acento: "síntoma", aparece "s´´intoma".

En ocasiones, un cortafuegos solicita la conexión con Internet de un archivo desconocido cuyo nombre tiene cuatro letras y la extensión .EXE.

En una red, las impresoras pueden empezar a imprimir caracteres extraños.

Cuando se ejecuta como caballo de Troya, Bugbear.B puede habilitar un servidor HTTP en la máquina infectada, permitiendo el acceso de cualquier intruso a todos los archivos y carpetas de la misma.

Además de ello, el troyano queda a la escucha por el puerto TCP/1080 de las posibles órdenes de un atacante. Esta opción habilita varias acciones que comprometen la seguridad del sistema. Un intruso puede realizar acciones como cargar, descargar, borrar, copiar y ejecutar archivos en forma remota. Entre los archivos que puede obtener están los generados por el keylogger visto antes. El intruso también puede robar información privada del usuario, incluidas las contraseñas y otros datos sensibles.

Una característica extraña del gusano, es que contiene una lista de más de 1300 sitios web de instituciones bancarias. Cada vez que infecta una computadora, compara su dirección IP con esta lista. Si coincide, realiza algunos cambios en el registro para que la computadora infectada tenga habilitada la opción de autodiscado a determinados números. La lista de bancos corresponden a muchos países del mundo, incluidos España, Argentina, Brasil, Colombia y México.

Para limpiar un equipo infectado, es muy importante desconectarlo antes de cualquier red.

Ejecute un antivirus actualizado.

Una vez finalizado el programa de eliminación del virus que le hemos enviado reinicie su ordenador.

En ocasiones, puede ser necesario reinstalar algunos programas que no funcionen correctamente (incluidos algunos de Windows).

Los programas son los siguientes:

  ACDSee32
  Adobe Acrobat 4.0
  Adobe Acrobat 5.0
  AOL Messenger
  CuteFTP
  Download Accelerator Plus
  Far
  ICQ
  Internet Explorer 5 y 6
  KaZaA
  Lavasoft Ad-aware 6
  MSN Messenger
  Outlook Express
  Outpost
  QuickTime Player
  RealPlayer
  Morpheus
  Trillian
  Winamp
  Windows Media Player 6
  WinRAR
  WinZip
  WS_FTP
  ZoneAlarm