今年首见「高级风险」毒熊病毒W32/Bugbear@MM现身

Network Associates旗下之防毒紧急应变小组 AVERT，监於新发现的W32/Bugbear@MM病毒（又称Bugbear毒熊病毒）扩散速度增加，将此病毒评为「高级风险」。这是今年首次有病毒被AVERT评为「高级风险」。

毒熊病毒Bugbear是一种经电子邮件广泛散播的毒虫，可自行传送至电脑用户通讯录上的每一个人。此毒虫包含一个具Keylogging功能的木马後门植入特徵。McAfee AVERT位於英国的研究所於九月三十日早上首次接获此病毒的报告，而此病毒已在全球多个地方出现，包括美国、澳洲、印度、巴西及西欧多个国家。

毒熊病毒Bugbear是一个网路毒虫，一旦启动後，便会自行传送至用户通讯录上的每一个人。Bugbear会自行复制至受感染电脑的Window Directory System，成为一个.EXE格式的随机执行档案。Local Machine Registry则会被重新设定，以便影响下一次系统的启动。之後，毒虫会以系统中任何一个档案的名称，自行复制成.EXE，并储存於Startup文件夹内。

由於Bugbear采用不同的内容标题，用户应即时删除含有下列内容标题之电子邮件：* Found；* Daily Email Reminder；* Just a reminder；* Lost；* Market Update Report；* Membership Confirmation。电子邮件内文也各有不同，并可能包含受感染电脑内的档案的部分内容。此外，附件名称亦各有不同，并可能包含下列字眼：* Card；* Docs；* Image；* Music；* Photo；* Pics；* Readme；* Resume；* Video。附件名称很有可能包含两个延伸格式如doc.pif。发出的电子邮件会在Microsoft Internet Explorer用上不正确的MIME标题，令没有SP2的Internet Explorer 5.01及5.5版本执行电子邮件附件。

Bugbear会在受感染的电脑开设36794埠位，以搜寻不同的执行程序，并阻止这些程序的运作序包括多种个人防火墙与资讯安全产品。此病毒并会在受感染的电脑留下被侦测为PWS-Hooker.dll的Keylogger DLL。Bugbear感染电脑後，便会尝试中止系统的安全程式运作。在收到的受感染个案中，有些电脑会将列印工作指令传送至网路内所有网路印表机。此AVERT网站详载所有可能受影响的系统安全程式：http://vil.nai.com/vil/content/v_99728.htm。

用户可利用防毒公司的网站下载除毒方法及其他相关资料，例如於McAfee AVERT小组网站网址为http://vil.nai.com/vil/content/v_99728.htm。

本文由 CTIMES 同意转载，原文链接:http://www.ctimes.com.tw/DispCols/cn/Network-Associates/%E7%BD%91%E9%99%85%E5%AE%89%E5%85%A8%E7%B3%BB%E7%BB%9F/0210091837XS.shtmll