Wurm spricht Englisch: Bugbear

Der zweite derzeit kursierende Schädling heißt Bugbear. Bei dieser Malware handelt es sich um einen Wurm mit Trojaner- und Keylogger-Funktionen. Er scheint aus dem südostasiatischem Raum zu stammen und verbreitet sich als rund 50 Kiloybte große .EXE-Datei mit doppelter Datei-Endung via Mail und über freigegeben Netzlaufwerke. Die Datei tarnt sich dabei oft mit harmlos erscheinenden Dateiendungen wie .pif oder .scr. Die Betreffzeile der Mail ist stets in englischer Sprache verfasst.

Auf infizierten Rechnern tauchen folgende Dateien auf: iccyoa.dll, lgguqaa.dll, roomuaa.dll, okkqsa.dat, ussiwa.dat. Die Wurmdatei selbst verändert von Fall zu Fall ihren Namen. Für seine Verbreitung nutzt der Wurm schon länger bekannte Sicherheitslücken in den 5.01 und 5.5-Version des Internet Explorers: Html-Mails können automatisch durch Outlook oder Outlook-Express ausgeführt werden, ohne das der Mailanhang eigens gestartet werden muss. Besitzer eines Internet Explorer 6.0 sind vor dieser Gefahr sicher.

Der Wurm kopiert sich nach dem Start in das Windows-Autostart-Verzeichnis und versucht zu seinem Schutz verschiedene Sicherheitsprogramme (Virenscanner, Firewalls) zu deaktivieren, indem er deren laufende System-Prozesse beendet. Um sich weiterzuverbreiten benutzt er seine eigene SMTP-Routine - seine Zieladressen sucht er sich aus dem Adressbuch von Windows. Gegebenenfalls kann er sich auch über freigegebene Ordner und Laufwerke in Netzwerken verbreiten.