W32/Braid@MM

Fertőzés valószínűsége

Vállalati felhasználók: kicsi Otthoni felhasználók: kicsi

Adatlap

Felfedezés időpontja: 2002. 11. 04. Eredet: Korea Hossz: 114.687 bájt (README.EXE) és 4.608 bájt (BRIDE.EXE) Típus: Vírus Altípus: Fájl Adatbázis-verzió: 4232 (2002. 11. 06.) Keresőmotor: 4.1.60 Leírás dátuma: 2002. 11. 06.

Tulajdonságok:

Ez a levelezővírus a saját, beépített SMTP-levelezőkódjával továbbítja magát a számítógépen található e-mail címekre. A levelek "From", "Küldő" mezőjét hamisítja, ezzel nehezítve a vírus forrásának meghatározását. Kihasználja az Internet Explorer hiányosságait, a levél megtekintésekor történő automatikus lefuttatásához. Fájlvírus modulja a hálózati megosztásokon keresztül képes terjedni. A programféreg a következő felépítésu e-mailben érkezik: Küldő: (A feladó Windows felhasználó-neve) Tárgy: (A feladó windows vállalat-neve) Üzenetörzs: Hello, Product Name: Microsoft Windows (a küldő Windows verziója) Product Id: (a küldő Windows azonosítószáma) Product Key: (a küldő Windows kulcsa) Process List: (a küldő Windows futó folyamatainak listája) Thank you. Melléklet: README.EXE A vírus kihasználja az "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" hibát (MS01-020) a Microsoft Internet Explorer 5.01 és 5.5 (SP2 nélküli) verzióiban. Ennek eredményeképp a vírus le fog futni akkor is, ha a felhasználó a vírusos levelet Outlook klienssel csak megtekinti. A McAfee WebShield vírusvédelmi eszközök a vírust, mint Exploit-MIME.gen. vagy Exploit-MIME.gen.exe ismerik fel, 4213-as vagy újabb adatbázisok használata esetén. Futtatáskor a vírus bemásolja magát a WINDOWS SYSTEM (%SysDir%) könyvtárba, mint REGEDIT.EXE (Megjegyzés: REGEDIT.EXE található a WINDOWS könyvtárban), és a következő registry kulcsot hozza létre, hogy a Windows további indításaikor automatikusan betöltődjön: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\regedit=C:\Windows\System\regedit.exe A vírus fájlvírust helyez a WINDOWS SYSTEM könyvtárba, BRIDE.EXE és MSCONFIG.EXE fájlneveken, amelyek W32/Funlove.dr néven kerülnek azonosításra a 4231-es datverzióval. A fájlok futtatásakor megfertőzik az összes 32 bites PE (Portable Executable) .EXE, .OCX, és .SCR kiterjesztésű fájlt a számítógépen, ezzel a módosított W32/Funlove vírussal. Ezek a fájlok W32/FunLove.gen néven azonosíthatók a jelenlegi, 4231-es adatbázissal és 4160-as keresőmotorral.

Tünetek

A következő fájlok jelenléte: HELP.EML %Desktop könyvtár%\Explorer.exe %SysDir%\Bride.exe %SysDir%\Regedit.exe (Megjegyzés: Regedit.exe található a WINDOWS könyvtárban, de ez önmagában nem utal vírusfertőzésre) A programféreg vírusirtó programnak tünteti fel magát a tulajdonságai megjelenítésekor:

A fertőzés menete

A vírus e-mailben érkezik. Futtatáskor fájlvírust helyez a számítógépre, amely megfertozi az .EXE, .OCX, és .SCR kiterjesztésu PE fájlokat. A programféreg a sázmítógépen fellelheto .DBX és .HTM fájlokban található e-mail címekre küldi tovább magát. Szintén a fájlban talált nevekből választhat a levél "Küldő" mezőjébe egy hamis címet, hogy elrejtse a valódi vírusgazdát. A vírus képes különféle biztonsági szoftverek folyamatainak leállítására.

Eltávolítási utasítások

A 4232-es adatbázis és 4.1.60-as keresomotor használatával a vírus eltávolítható. Az adatbázis megjelenéséig (várhatóan 2002. 11. 07.) a napi adatbázisok használhatók.

Egyéb elnevezések

I-worm.Bradex (AVP) PE_BRID.A (Trend) W32/Brid.A@MM Win32/Brid.A@MM