Win32.Bide.A@mm

Alias: W32/Braid.A (Sophos), Bridex (F-Secure) Tip: Executable Mass-mailer Marime: 118787 bytes Raspandire: Medie Risc: Mediu Simptome: fisierul "regedit.exe" in directorul Windows System (nu in

Alias: W32/Braid.A (Sophos), Bridex (F-Secure) Tip: Executable Mass-mailer Marime: 118787 bytes Raspandire: Medie Risc: Mediu Simptome: fisierul "regedit.exe" in directorul Windows System (nu in directorul Windows!); fisierul "Explorer.exe" de pe Desktop (cu un icon de Internet Explorer, nu de Windows Explorer!); fisierul mesajului de email "Help.eml" de la Desktop; fisierul "bride.exe" in directorul Windows System; Descriere tehnica: Acest virus este un vierme de mass-mailing scris in Visual Basic, care are atasat si infectorul de fisiere Win32.FunLove.4070. Body-ul FunLove si majoritatea sirurilor de caractere folosite de virus sunt encriptate cu scopul de a face mai dificila ingineria inversa. Virusul vine ca mesaj al unui email si are atasamentul README.EXE. Virusul exploateaza vulnerabilitatea IFRAME din Internet Explorer 5.xx; atasamentul va fi automat executat cand mesajul este selectat in fereastra de previzualizare din Outlook/Outlook Express (pe sistemele fara patch-ul respectiv). Virusul se va copia ca "regedit.exe" in directorul Windows System si va crea cheia din registrii HKCU\Software\Microsoft\Windows\ CurrentVersion\Run\regedit cu scopul ca viermele sa fie rulat la fiecare repornire a Windows-ului. Viermele se va copia si pe Desktop ca "Explorer.exe" (cu icon-ul Internet Explorer). Fisierul mesajului de email ("Help.eml") ce contine viermele va fi creat; cand utilizatorul il deschide, atasamentul va fi executat automat (datorita vulnerabilitatii IFRAME): Alte doua copii ale viermelui (una in format Base64) vor fi create in fisierele temporare denumite "Brade0.tmp" si "Brade1.tmp". Viermele va opri acele servicii ale caror nume cuprind unul din urmatoarele siruri de caractere: MST; MS_; S-_NP; VIEW; IRMON; SMTPSVC; MONIKER; PROGRAM. De asemenea, viermele va termina acele procese ale caror nume cuprind urmatoarele siruri de caractere: dbg; mon; vir; iom; anti; fire; prot; secu; view; debug. Numele si descrierile acestor procese vor fi incluse in body-ul mesajelor de email, sub titlul "Process List". Campurile "From" si "Subject" ale mesajelor sunt completate cu valori din urmatoarele inregistrari: RegisteredOwner si RegisteredOrganization. Mesajele contin, de asemenea, informatii despre versiunea Windows rulata, id si cheia luata din intrarile din registri. Virusii din aceasta rubrica au fost studiati de Softwin si pot fi eliminati cu antivirusul romanesc BitDefender (AVX).