|
|
| Nombre: | W32/Braid@MM Alias: Win32.Braid.A, I-worm.Bradex, W32.Brid.A@mm, PE_BRID.A, W32/Braid@MM, Bridex, Worm/Bride.A, W32/Brid.A@MM, Win32/Brid.A@MM, Braid, W32/Braid.A-mm, I-Worm.Bridex, W32.Funlove.int |
| Tipo: | Virus |
| Tamaño: | 114,687 bytes (Readme.exe), 4,608 bytes (Bride.exe) |
| Origen: | Corea |
| Destructivo: | SI |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 5.3 al 04/11/2002. |
Descripción:
W32/Braid@MM, es un virus que se transmite vía E-mail. Cuando el gusano se ejecuta Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Outlook, además tambien aprovecha la vulnerabilidad Incorrect MIME Header, el cual ejecuta archivos con solo visualizarlos en la vista previa.
Características de los mensajes de E-mail:
Asunto: [Nombre de la empresa registrada]
Cuerpo:
Hello,
Product Name: [Nombre del producto]
Product Id: [ID del producto]
Product Key: [Clave de instalacion del producto]
Process List: [Lista de procesos ejecutandose]
Thank you.
Archivo Adjunto: README.EXE
------------------------------------------------------
Cuando el gusano se ejecuta se copia a sí mismo en la carpeta del sistema como :
C:\WINDOWS\SYSTEM\REGEDIT.EXE
C:\WINDOWS\SYSTEM\BRIDE.EXE
C:\WINDOWS\SYSTEM\MSCONFIG.EXE
C:\WINDOWS\Escritorio\HELP.EML
C:\WINDOWS\Escritorio\Explorer.exe
Nota:
El verdadero REGEDIT.EXE se encuentra en la carpeta
de Windows.
BRIDE.EXE, ejecuta una variante del virus
W32/FunLove (W32/Funlove.dr)
MSCONFIG.EXE, es una copia del gusano.
HELP.EML, es
una copia del mensaje que el virus envia a todos los contactos de la libreta
de direcciones.
EXPLORER.EXE, es una copia del gusano que tiene asociado el icono del
Internet Explorer.
La nueva variante del virus W32/FunLove es ejecutado por el archivo BRIDE.EXE, a diferencia de las versiones anteriores del FunLove que eran ejecutados por el archivo FLCSS.EXE.
Además crea una entrada en el registro para poder ejecutarse en cada reinicio del sistema :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"regedit"="C:\WINDOWS\SYSTEM\Regedit.exe"
Seguidamente muestra la siguiente ventana :
Finalmente cuando los archivos creados por el virus son ejecutados estos infectan a todos los archivos de extensión .EXE, .OCX y .SCR que hay en el sistema.
| Recomendaciones de Vulnerabilidad |
El virus explota una vulnerabilidad de Internet Explorer que puede infectar la computadora del receptor del mensaje con tan sólo visualizar el mensaje. Más Información de la vulnerabilidad en la web de Microsoft en la siguiente dirección: Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020)
Derechos reservados 1992/2002 HackSoft S.R.L. Lima-Perú