Worm.Bugbear-A是一种恶性蠕虫病毒，2002年10月2日在中国首次登陆。瑞星公司率先查杀了这种病毒，并把它命名为“怪物”病毒。这种病毒可以监控电脑用户的键盘动作，并截获用户的登录名和密码；修改注册表，电脑用户开机时病毒被自动启动；会自动搜索并杀掉它知道的反病毒软件的进程；向外界病毒客户端发送被感染用户的机密信息，如用户名和密码；它会攻击打印机，使同网络内的打印机随机打印二进制代码。同时，它具有极强的传播能力。它会利用局域网进行传播，只要是能找到的资源，都会被感染。

复制自身，释放“钩子”

病毒运行时，会将自身复制到system目录下，文件名为随机的4个字母，扩展名为.EXE（如：yyyy.EXE），并释放出一个动态链接库文件，大小为 5632字节，文件名为随机的6个字母，扩展名为.DLL（如：zzzzzz.DLL），这个DLL是一个钩子函数,用来监控键盘动作，以截获用户的登录名及密码。

修改注册表，开机自启动

病毒通过查注册表得到系统的“开始菜单”→“程序”→“启动”的路径

启动4个线程，进行全面传播

病毒运行后会启动4个线程：

1. 线程1启动后，会每隔30秒进行一次“进程遍历”工作，寻找病毒已知的反病毒软件的进程，发现后会将之杀掉，使杀毒软件全面失效。以下是病毒可以杀掉的反病毒软件的进程(106个进程)：

ZONEALARM.EXE

WFINDV32.EXE

WEBSCANX.EXE

VSSTAT.EXE

VSHWIN32.EXE

VSECOMR.EXE

VSCAN40.EXE

VETTRAY.EXE

VET95.EXE

TDS2-NT.EXE

TDS2-98.EXE

TCA.EXE

TBSCAN.EXE

SWEEP95.EXE

SPHINX.EXE

SMC.EXE

SERV95.EXE

SCRSCAN.EXE

SCANPM.EXE

SCAN95.EXE

SCAN32.EXE

SAFEWEB.EXE

RESCUE.EXE

RAV7WIN.EXE

RAV7.EXE

PERSFW.EXE

PCFWALLICON.EXE

PCCWIN98.EXE

PAVW.EXE

PAVSCHED.EXE

PAVCL.EXE

PADMIN.EXE

OUTPOST.EXE

NVC95.EXE

NUPGRADE.EXE

NORMIST.EXE

NMAIN.EXE

NISUM.EXE

NAVWNT.EXE

NAVW32.EXE

NAVNT.EXE

NAVLU32.EXE

NAVAPW32.EXE

N32SCANW.EXE

MPFTRAY.EXE

MOOLIVE.EXE

LUALL.EXE

LOOKOUT.EXE

LOCKDOWN2000.EXE

JEDI.EXE

IOMON98.EXE

IFACE.EXE

ICSUPPNT.EXE

ICSUPP95.EXE

ICMON.EXE

ICLOADNT.EXE

ICLOAD95.EXE

IBMAVSP.EXE

IBMASN.EXE

IAMSERV.EXE

IAMAPP.EXE

FRW.EXE

FPROT.EXE

FP-WIN.EXE

FINDVIRU.EXE

F-STOPW.EXE

F-PROT95.EXE

F-PROT.EXE

F-AGNT95.EXE

ESPWATCH.EXE

ESAFE.EXE

ECENGINE.EXE

DVP95_0.EXE

DVP95.EXE

CLEANER3.EXE

CLEANER.EXE

CLAW95CF.EXE

CLAW95.EXE

CFINET32.EXE

CFINET.EXE

CFIAUDIT.EXE

CFIADMIN.EXE

BLACKICE.EXE

BLACKD.EXE

AVWUPD32.EXE

AVWIN95.EXE

AVSCHED32.EXE

AVPUPD.EXE

AVPTC32.EXE

AVPM.EXE

AVPDOS32.EXE

AVPCC.EXE

AVP32.EXE

AVP.EXE

AVNT.EXE

AVKSERV.EXE

AVGCTRL.EXE

AVE32.EXE

AVCONSOL.EXE

AUTODOWN.EXE

APVXDWIN.EXE

ANTI-TROJAN.EXE

ACKWIN32.EXE

_AVPM.EXE

_AVPCC.EXE

_AVP32.EXE

2. 线程

3. 线程3启动后会搜索硬盘上的地址簿文件，根据其中地址向外发送一封利用了MIME和IFRAME漏洞的病毒邮件（这种漏洞邮件不需要双击运行，只要预览该邮件，病毒就会运行），进行Internet传播。病毒邮件没有正文，邮件的标题是下列字符串中的任意一种：

Hello!

update

Payment notices

Just a reminder

Correction of errors

history screen

Announcement

various

Introduction

Interesting...

I need help about script!!!

Please Help...

Report

Membership Confirmation

Get a FREE gift!

Today Only

New Contests

Lost & Found

bad news

fantastic

click on this!

Market Update Report

empty account

My eBay ads

25 merchants and rising

CALL FOR INFORMATION!

new reading

Sponsors needed

SCAM alert!!!

Warning!

its easy

free shipping!

Daily Email Reminder

Tools For Your Online Business

New bonus in your cash account

Your Gift

$150 FREE Bonus!

Your News Alert

Get 8 FREE issues - no risk!

Greets!

邮件的附件是被染毒机器上的某个文件名，一般含有如下字符串：

Readme

Setup

Card

Docs

News

Image

Images

Pics

Resume

Photo

Video

Music

Song

Data

附件的文件名是双扩展名，最后一个扩展名是 EXE、SCR 或 PIF，在一般的计算机中，文件的扩

展名是隐藏的，这样通常用户只能看到一个扩展名。

4. 线程4启动时，会打开计算机的36794端口，并通过SMTP服务向外界病毒客户端程序发送用户的一些机密信息，如用户名、用户密码等。

攻击打印机，扰乱正常打印

病毒如果检测到有打印机或者网络打印机的存在，会将病毒体的二进制代码随机取出进行打印，大量浪费墨水和纸张。

1.瑞星公司已经于截获病毒的当天进行了紧急升级，瑞星用户只需将软件升级到15.03及以上的版本可以自动截获并清除此病毒，望广大用户及时升级。同时，由于这个病毒在局域网中有极强的传播能力和破坏性，因此，对于局域网用户，只有安装了瑞星等厂家提供的网络版反病毒软件，才可以彻底根治这个病毒。

2.2002年以后，这个病毒已经被各大主流杀毒软件收录，已经没有传播的风险。