PE_BUGBEAR.B es una nueva versión de BUGBEAR, que surgió el año pasado el mes de Esta variante difiere de la anterior en que es un virus polimórfico con
capacidad de infectar ficheros . (El polimorfismo es una técnica de ocultación de virus con la que se varía el método de encriptación del virus cada vez que se copia, obligando a los antivirus a usar técnicas heurísticas. Debido a que el virus cambia en cada infección es imposible localizarlo buscándolo por cadenas de código, técnica habitual de análisis).

BUGBEAR.B se trata de un virus de los denominados mixtos por poseer distintas características de tipos de virus, en este caso tiene características de todos los tipos de virus, ya que es virus clásico, porque infecta ficheros, también es troyano, porque abre una puerta trasera, y gusano, se autoenvía. Además, es un virus bastante complejo que utiliza varios métodos infección.

Sus características principales son:

1) Es un virus de envío masivo de correo electrónico, que realiza a través de su propio motor SMTP, con lo que puede afectar a distintas plataformas de correo. Busca las direcciones de correo electrónico a las que autoenviarse de correos electrónicos guardados en el sistema, libretas de direcciones y buzones de correo que encuentra en la máquina infectada.

El correo electrónico en el que llega el virus tiene un asunto y un contenido variable, ya que puede utilizar correos pertenecientes al ordenador infectado para reenviarse. El nombre del archivo adjunto también es variable, pero podría contener alguna de las siguientes cadenas de texto:
* Setup
* Card
* Docs
* news
* image
* images
* pics
* resume
* photo
* video
* music
* song
* data
El tamaño del archivo adjunto suele ser de 72.192 bytes. El archivo adjunto puede contener un nombre de archivo con doble extensión, por ejemplo ARCHIVO.JPG.EXE. El nombre base del archivo y su primera extensión se obtiene del archivo de documentos del sistema infectado. La segunda extensión que utiliza el virus es una de las siguientes:
* exe
* scr
* pif

Además, utiliza una vulnerabilidad de Microsoft que hace que se ejecute automáticamente el archivo que contiene el virus. Al abrir el correo o verlo con vista previa se ejecuta automáticamente el archivo adjunto. La vulnerabilidad es conocida como Incorrecta cabecera MIME (para más información:
Una vez se ejecuta el virus, se copia a sí mismo en la carpeta de inicio del ordenador, creando una entrada de registro, que le permite ponerse en funcionamiento cada vez que se inicie el ordenador.

2) PROPAGACIÓN A TRAVÉS DE REDES INFORMÁTICAS.

El virus infecta múltiples archivos ejecutables (extensión .EXE) tanto en el propio ordenador infectado como en recursos de red. Bugebear.B infecta archivos al incluir su código malicioso al fichero. Para infectar a través de la red, primero busca discos y carpetas compartidas en la red y entonces busca ciertos archivos ejecutables que se suelen encontrar en determinadas carpetas para propagarse.

3) Abre una puerta trasera y permite ver qué se teclea en el ordenador
infectado.
El virus instala un capturador de pulsaciones de teclado (keylogger) que permite ver todo lo que el usuario va tecleando en su ordenador, con lo que se podrían extraer las contraseñas, número de la tarjeta de crédito... Además abre el puerto 1080, a traves del cual los usuarios maliciosos podrían realizar las siguientes acciones de forma remota:
* Descargar y ejecutar archivos
* Copiar y borrar archivos
* Listar procesos
* Detener procesos
* Encontrar y ejecutar archivos
* Establecer un servidor HTTP
* Robar información de la máquina infectada
Todas estas acciones pueden comprometer la seguridad de los equipos y de una red.
 

4) Finaliza cierto software antivirus de seguridad, que incluye tanto
cortafuegos (firewall) como antivirus.
De este modo, se dejaría de actualizar el software de seguridad en los equipos