
Worm yang dikenal sebagai BugBear.B merupakan varian dari worm BugBear. Worm ini menyebar dengan begitu cepat dengan cara mengirim e-mail yang telah terinfeksi ke sejumlah komputer korban. E-mail yang dikirimkan dapat berisi apa saja, begitu e-mail dibuka, worm ini akan mengeksekusi attachment secara otomatis, dan siap merusak.
Worm dikemas dalam sebuah file Windows PE yang dapat dieksekusi, dan dikompresi dengan UPX dan dienkripsi dengan cryptoalgorithm yang berbeda-beda pada setiap generasi worm, hingga menjadikan worm ini bersifat polymorphic (memiliki banyak bentuk). File terkompres berukuran 72192 byte, sementara yang tidak terkompres, ukurannya mencapai 170 kilobyte.
Ketika file worm ini dijalankan, worm akan menginstal dirinya sendiri ke sistem dengan cara menginfeksi sejumlah file pada beberapa aplikasi dan system tool. Sampai saat ini ada 23 folder program dan 6 folder pada direktori windows yang diketahui akan terinfeksi oleh worm ini.
Worm ini juga dapat memposisikan filenya pada folder Startup dengan sembarang nama, atau berupa SETUP.EXE, sehingga akan otomatis teraktifasi begitu sistem dijalankan kembali (restart).
Belum lagi, worm ini dapat memposisikan komponen keylogging pada direktori Windows System dengan nama acak dan ekstensi DLL. Keylogging memungkinkan tercatatnya semua aktifitas keyboard, sehingga password maupun nomor kartu kredit dapat diketahui. File hasil keylogging tercatat dalam bentuk terenkripsi.
Penyebaran lewat e-mail dilakukan dengan memanfaatkan SMTP engine yang dimilikinya sendiri, sehingga dapat menemukan alamat e-mail dan mencari file database email. Alamat pengirimnya bisa dari mana saja, bahkan dari alamat fiktif. Selain itu baris "Subject" dan "Message" dapat berisi apa saja, termasuk teks, file atau dokumen yang berasal dari komputer korban.
Worm ini juga dapat meminjam sembarang nama file pada komputer terinfeksi. Attachment yang terinfeksi worm ini dapat memiliki dua atau lebih ekstensi file, misal DOCUMENT.DOC.EXE.
Worm ini mampu mematikan anti-virus, program sekuriti, atau program-program lain yang ditemuinya. Semua proses dipantau setiap 20 detik, jika worm ini menemukan proses-proses yang nama filenya sesuai dengan daftar yang dimilikinya proses tersebut akan dimatikan. Proses pematian ini dibedakan untuk sistem yang menggunakan sistem operasi Windows 9X dan Windows NT.
Efek samping dari worm ini adalah dia mampu menyebabkan printer jaringan secara otomatis mencetak sejumlah besar sampah.
Komponen lain yang dimilikinya adalah komponen backdoor yang mampu menuruti perintah dari remote host dengan memanfaatkan TCP port 1080. Jika hacker terhubung ke komponen backdoor ini, maka mereka dapat melakukan apapun yang mereka inginkan pada komputer yang terinfeksi.
Tidak seperti pendahulunya, Bugbear.B tidak memiliki otentikasi khusus pada komponen backdoornya. Kalau begini, backdoor dapat dimanfaatkan oleh banyak hacker, tidak terbatas hanya untuk si pemilik.
Yang lain: