W32/Bugbear es un gusano que llega dentro de un mensaje de correo de difícil identificación ya que el asunto, el contenido y el fichero que adjunta el mensaje son variables en cada infección.

          W32/Bugbear ataca a diversos programas antivirus y firewalls con la intención de dejar el ordenador infectado por el gusano sin protección frente a otros virus y ataques.

          W32/Bugbear tiene un tamaño de 50688 Bytes (cuando el fichero que contiene el virus se distribuye comprimido con UPX) y está escrito en el lenguaje de programación Visual C.
  
  
Modo de propagación: 
  
          W32/Bugbear se propaga a través del correo electrónico y de unidades de red compartidas.

Infección por correo electrónico:

          W32/Bugbear llega oculto en un mensaje de correo con unas características muy variables. Los datos más habituales son los siguientes:

          - Asuntos. Aunque el virus puede contener diferentes asuntos (incluso distintos a los aquí enunciados), sirva de referencia el siguiente listado ordenado alfabéticamente: 

• $150 FREE Bonus!
• 25 merchants and rising CALL FOR INFORMATION!
• Announcement
• bad news
• click on this!
• Correction of errors
• Cows
• Daily Email Reminder
• empty account
• fantastic
• free shipping!
• Get 8 FREE issues - no risk!
• Get a FREE gift!
• Greets!
• Hello!
• Hi!
• history screen
• hmm..
• I need help about script!!!
• Interesting...
• Introduction
• its easy
• Just a reminder
• Lost & Found
• Market Update Report
• Membership Confirmation
• My eBay ads
• New bonus in your cash account
• New Contests
• new reading
• News
• Payment notices
• Please Help...
• Re:
• Report
• SCAM alert!!!
• Sponsors needed
• Stats
• Today Only
• Tools For Your Online Business
• update
• various
• Warning!
• wow!
• Your Gift
• Your News Alert 

          CARD, DATA, DOCS, IMAGE, IMAGES, MUSIC, NEWS, PHOTO, PICS, README, RESUME, SETUP, SONG, VIDEO.

          Además, la extensión del fichero puede ser doble. 
 
Infección a través de redes:

          W32/Bugbear se propaga a través de recursos compartidos en red, no siendo capaz de diferenciar el tipo de recurso al que se propaga. Si el recurso en cuestión resulta ser una impresora, la consecuencia será la impresión del código binario del gusano. Esto puede traer consigo la saturación de las impresoras afectadas.
 
 
Síntomas de infección: 

          El efecto principal provocado por la infección del gusano W32/Bugbear es el ataque a ficheros utilizados por diversos programas antivirus y firewalls.

          Así, los ficheros atacados por este gusano son, en orden alfabético, los siguientes:

_AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, ACKWIN32.EXE, ANTI-TROJAN.EXE, APVXDWIN.EXE, AUTODOWN.EXE, AVCONSOL.EXE,AVE32.EXE, AVGCTRL.EXE, VKSERV.EXE, AVNT.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPDOS32.EXE, AVPM.EXE, AVPTC32.EXE, AVPUPD.EXE, AVSCHED32.EXE, AVWIN95.EXE, AVWUPD32.EXE, BLACKD.EXE, BLACKICE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLAW95.EXE, CLAW95CF.EXE, CLEANER.EXE, CLEANER3.EXE,DVP95.EXE, DVP95_0.EXE, ECENGINE.EXE, ESAFE.EXE, ESPWATCH.EXE, F-AGNT95.EXE, FINDVIRU.EXE, FPROT.EXE, F-PROT.EXE, F-PROT95.EXE, FP-WIN.EXE, FRW.EXE, F-STOPW.EXE, IAMAPP.EXE, IAMSERV.EXE, IBMASN.EXE, IBMAVSP.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFACE.EXE, IOMON98.EXE, JEDI.EXE, LOCKDOWN2000.EXE, LOOKOUT.EXE, LUALL.EXE, MOOLIVE.EXE, MPFTRAY.EXE, N32SCANW.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVNT.EXE, NAVW32.EXE, NAVWNT.EXE, NISUM.EXE, NMAIN.EXE, NORMIST.EXE, NUPGRADE.EXE, NVC95.EXE, OUTPOST.EXE, PADMIN.EXE, PAVCL.EXE, PAVSCHED.EXE, PAVW.EXE, PCCWIN98.EXE, PCFWALLICON.EXE, PERSFW.EXE, RAV7.EXE, RAV7WIN.EXE, RESCUE.EXE, SAFEWEB.EXE, SCAN32.EXE, SCAN95.EXE, SCANPM.EXE,  SCRSCAN.EXE, SERV95.EXE, SMC.EXE, SPHINX.EXE, SWEEP95.EXE, TBSCAN.EXE, TCA.EXE, TDS2-98.EXE, TDS2-NT.EXE, VET95.EXE, VETTRAY.EXE, VSCAN40.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSSTAT.EXE, WEBSCANX.EXE, WFINDV32.EXE, ZONEALARM.EXE

• ~PHQGHUM.TMP, en el directorio temporal de Windows, con un tamaño de 20 Bytes.

 
• Dos ficheros con extensión EXE (ejecutable). Uno de ellos se localiza en el directorio de sistema y el otro en el de inicio de Windows. Los nombres de los dos ficheros son puestos por el virus al azar. W32/Bugbear los ejecuta en cada inicio o arranque de Windows.

 
• Y otro fichero, con extensión DLL (librería), en el directorio de sistema de Windows.

• HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce=

          Crea esta entrada, introduciendo como valor el nombre del fichero con extensión EXE que creó en el directorio de sistema de Windows. El objetivo de esta entrada es activar el virus en cada arranque o inicio de Windows.

• Se aprovecha de una vulnerabilidad conocida como: Iframe Exploit.

 
• Utiliza el puerto de comunicaciones 36794 para realizar conexiones remotas.

 
• Trata de evitar el envío del correo con el fichero que origina la infección a las direcciones de correo que contienen alguna de las siguientes palabras: list, localdomain, localhost, lyris, mailer-daemon, majordom, nobody@, noreply, postmaster@, recipients, remove, root@, spam, talk, ticket, trojan, undisclosed, virus.

          Panda Software cuenta con una herramienta que permite solucionar este problema y restablecer los valores originales y correctos de la configuración: PQREMOVE. 

          Descargue el fichero PQREMOVE.COM (1'2Mb.) y guárdelo en el directorio que usted desee (puede descargarlo, pinchando sobre las siguientes direcciones). 

          Web de Panda:  www.pandasoftware.es (Utilidades de Reparación)
          R.e I.C.A.Z.:  PqRemove.Com 

          Para ejecutar está aplicación, bastará con que haga doble clic sobre el fichero que se ha descargado. A partir de ese momento, siga las instrucciones que se le indican.
 

Notas:

          Si su ordenador está conectado a una red de ordenadores o a Internet, le recomendamos desconectarlo de dichas redes. De esta forma, evitará que se su ordenador vuelva a infectarse durante el proceso de desinfección. 

          Una vez concluido el proceso de desinfección, podría aparecer un mensaje de error al reiniciar el ordenador. Sin embargo, este mensaje carece de importancia, y en condiciones normales, no volverá a mostrarse en sucesivas ocasiones.