Win32.Bide.C@mm

Tip: Executable Mass-Mailer Marime: ~91 KB Risc: mediu Descriere tehnica: Aceasta versiune a virusului Win32.Bride.A@mm a fost scrisa in Visual C++. Majoritatea sirurilor de caractere sunt criptate

Tip: Executable Mass-Mailer Marime: ~91 KB Risc: mediu Descriere tehnica: Aceasta versiune a virusului Win32.Bride.A@mm a fost scrisa in Visual C++. Majoritatea sirurilor de caractere sunt criptate si viermele poarta, din nou, infectorul de fisiere Win32.FunLove.4070. Virusul ajunge atasat unui mesaj de email si are forma urmatoare: Subject: Re: AVAR (Association of Anti-Virus Asia Reseachers) Body: AVAR (Association of Anti-Virus Asia Reseachers) - Report. Viermele exploateaza vulnerabilitatea IFRAME cu scopul ca fisierul executabil sa fie automat lansat atunci cand mesajul este afisat in fereastra de previzualizare si vulnerabilitatea Microsoft VM ActiveX Component cu scopul ca fisierul HTM sa adauge "CEO" la extensiile fisierelor executabile si viermele sa fie rulat atunci cand utilizatorul deschide fisierul CEO. Viermele se copiaza in directorul Windows System ca si WIN.pif ( fiind un numar aleator), si, dupa aceea, executa aceasta copie cu un parametru in linia de comanda care specifica "tick count" (numarul de milisecunde care a trecut din momentul pornirii sistemului). Viermele foloseste o functie care va scana, recurent, directoare de pe partitiile fixate. Continutul directoarelor cu nume ce contin: antivirus; cillin; nlab; vacc; va fi sters (oricum, testele au demonstrat ca virusul reuseste sa stearga majoritatea fisierelor de pe disk). Adresele vizate pentru mass-mailing vor fi adunate din fisiere de tip .dbx si .htm; adresele ce contin "@microsoft" vor fi evitate. O lista de adrese vizate vor fi pastrate in cheia din registrii HKCR\Software\Microsoft\DataFactory. In timpul executiei, viermele va incerca sa descarce date de la adresa http://www.symantec.com/ (in fisierele temporare din directorul Windows System, care mai tarziu vor fi inlaturate) pentru doua motive: primul, sa vada daca este disponibila o conexiune la Internet, si cel de-al doilea, sa incarce server-ul. Virusii din aceasta rubrica au fost studiati de Softwin si pot fi eliminati cu antivirusul romanesc BitDefender (AVX).