Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 10/6/2003
Den seneste udgave af ormen Bugbear er nu den mest udbredte orm i Danmark. Den installerer et fjernstyringsprogram og opsamler brugerens tastetryk.Bugbear.B, som den kaldes, spreder sig via e-post og Windows-fildeling. Den udgør for tiden halvdelen af de orme, som det danske firma Comendo fjerner for deres kunder. Også på verdensplan er den udbredt, den er således nummer et på firmaet Messagelabs liste over de orme, de fjerner.
Ormen ankommer i en mail, hvis emne og afsenderadresse kan være hvad som helst. Den finder nemlig adresser og tekststumper på den inficerede pc, som den bruger til at forklæde sig med.
Hvis man modtager en mail med ormen, bliver den først aktiveret, hvis man dobbeltklikker på den vedhæftede fil. Ormen kan dog også aktivere sig selv, hvis modtageren ikke har opdateret sin Internet Explorer siden 2001.
Når ormen afvikles, standser den en række antivirusprogrammer og personlige firewalls, hvis de kører på pc'en. Desuden sender den sig selv videre til alle de adresser, den finder i pc'ens forskellige adressekartoteker.
Bugbear.B installerer et program, der opsamler brugerens tastetryk. Det kan udnyttes til at finde frem til brugernavne og adgangskoder. Endvidere installerer ormen en bagdør, som en angriber kan udnytte til at fjernstyre pc'en med. Bagdøren lytter på port 1080, der normalt anvendes af proxy-servere.
Ormen søger også på harddisken efter en stribe domænenavne, der alle tilhører banker. Hvis den finder et af disse navne, ændrer den på en indstilling i registreringsdatabasen, så pc'en ringer op til internettet uden at spørge brugeren først.
Ormen kunne lige så godt have ændret indstillingen i registreringsdatabasen, uanset om den fandt domænenavnet eller ej. Virusanalytiker Peter Kruse mener, at det kan være et signal fra ormens forfatter om, at man nu går målrettet efter brugere af netbanker.