Také v červnu bohužel pokračoval trend, který jsme zažili již v květnu – objevilo se několik nových, velice úspěšných virů a rozsáhlých epidemií.

Už pátého června se objevila nová varianta viru Win32:Bugbear, označovaná jako Win32:Bugbear-B. Nástup tohoto viru byl neuvěřitelně rychlý, během několika hodin se dokázal rozšířit jako požár po celém světě. Bohužel některé antivirové firmy zareagovaly trochu pomaleji než obvykle, a proto zpočátku došlo k jeho velkému rozšíření i v řadě firem. Jednalo se o dosud nejprudší epidemii, například anglická firma Messagelabs zaregistrovala během prvního dne více než 100 000 kopií viru.

Virus Win32:Bugbear-B je napsán v jazyce Microsoft C a je zabalen programem UPX. Na rozdíl od řady jiných červů je polymorfní, což znamená, že je v každé své kopii trochu jiný. K tomuto účelu používá kombinace UPX a jednoduchého šifrování. Šíří se pomocí elektronické pošty a také po sdílených discích lokální sítě.

Zprávy, které virus pro svoje šíření používá, jsou (podobně jako u jeho staršího bratříčka) neuvěřitelně různorodé. Virus totiž na infikovaném počítači náhodně vybere existující zprávu, jméno existujícího souboru, najde (v adresáři či v souborech na disku) jméno nového adresáta, zfalšuje jméno odesílatele a odešle se pomocí vlastní SMTP rutiny. To má za důsledek to, že uživatelé dostávají naprosto věrohodné zprávy v lokálním jazyce (například česky nebo slovensky), a že připojený soubor zkusí otevřít. Pravdou je, že první exemplář jsem dostal spolu s pozvánkou na Mikulášskou besídku, což je v červnu přinejmenším podezřelé, nicméně řada následujících zpráv byla opravdu docela přesvědčivá. Problémem může být i to, že některé takové zprávy mohou obsahovat citlivá data a spolu s virem se mohou dostat do nepravých rukou. Připojený soubor má dvojitou příponu, přičemž ta poslední je EXE, SCR nebo PIF. Virus navíc využívá dlouho známé bezpečnostní díry IFrame, která umožňuje automatické spuštění v systémech, které nejsou správným způsobem opraveny pomocí příslušné záplaty firmy Microsoft.

Minule jsme si povídali o nových úspěšných variantách viru Win32:Sobig. Řada těch posledních měla časově omezenou platnost svého šíření, přičemž nové varianty se objeví vždy, když ty předchozí končí. Tato „hra“ jejich autora pokračovala i v červnu. 18. června se objevila (proti ostatním nepříliš úspěšná) varianta Win32:Sobig-D, která skončila své šíření 2. července. Brzy jej následovala nová varianta: Win32:Sobig-E, který byl objeven 25. června a který byl opět velice úspěšný – více než 50 000 infikovaných zpráv během druhého dne výskytu. I v tomto případě je jeho šíření časově omezeno - tentokrát do 14. července 2003. Nakažené zprávy mají v poli "Předmět:" ("Subject:") jednu z následujících možností:
004448554.pif
Application.pif
Applications.pif
movie.pif
new document.pif
Re: Application
Re: document.pif
Re: Documents
Re: Movie
Re: Movies
Re: Re: Application ref 003644
Re: Re: Document
Re: Screensaver
Re: Submitted
Referer.pif
Screensaver.scr
submited.pif
Your application

Tělo zprávy obsahuje pouze větu Please see the attached zip file for details.

Připojený soubor se vždy jmenuje your_details.zip a jedná se skutečně o zabalený virus – uživatel jej musí napřed rozbalit a pak spustit. V důsledku drobného porušení internetového standardu pro pojmenovávání mailových příloh (pravděpodobně jde o chybu v kódu viru) mohou některé mailové programy zobrazovat jméno přílohy s příponou .ZI místo .ZIP.

Virus opět falšuje adresu odesílatele "Od:" ("From:"), která pak nemá nic společného s počítačem, ze kterého byl infikovaný mail odeslán. Worm vyhledává adresy pro rozesílání vlastních kopií v souborech s příponami .DBX, .EML, .HTM, .HTML, .TXT a .WAB.