Name
des Virus |
W32.Brid.A@mm |
Typ |
Internet Wurm |
befallene Betriebssysteme |
Windows 9x/NT/2000/ME/XP |
Alias |
PE_BRID.A, W32/Braid@mm,
W32/Braid-A, Win32.Bra |
Infizierung:
Der Wurm ist eine modifizierte Version des Funlove-Viruses.
Hauptunterschied zum Funlove ist die benutzte Datei. Der Brid nutzt die
Bride.exe, Funlove die Flcss.exe.
Die Infektionsmail hat folgendes Aussehen:
| Von |
[registrierter Windows
Benutzername] |
| Betreff |
[registrierter Windows
Firmenname] |
| Mailtext |
Product Name:
[Windowsversion]
Product ID: [Windows ID]
Product Key: [Windows Key]
Process List: [Liste der laufenden Prozesse] |
Dabei sind die in
[]-gehaltenen Informationen von dem infizierten Computer. Als Anhang der Mail
ist der Wurm in Form einer Readme.exe hinzugefügt. Sobald die Email auch nur
angesehen wird, nimmt das Unheil seinen Lauf.
Schadensroutine:
Nach dem bloßen Anschauen der Mail beginnt die Schadensroutine. Zunächst versucht sich Brid zu www.hotmail.com zu verbinden. Schlägt dies fehl, so verzögern sich die nächsten Routinen ein wenig.
Es werden einige Datei auf dem System hinzugefügt, die Registrierungsdatei wird modifiziert, eine Variante vom W32.Funlove.4099 wird ausgeführt und der Wurm wird an alle Kontakte des Outlook-Adressbuches in obiger Form weitergeschickt.
Die Dateien Help.eml, Explorer.exe werden generiert. Help.eml ist eine Microsoft Outlook Express Datei. Wenn sie auf einem nicht gepatchten System geöffnet wird, so wird der Mailanhang, also der Wurm, automatisch ausgeführt. Explorer.exe ist eine Kopie des Wurms. Beide Dateien werden dann auf den Desktop kopiert.
Der Brid fügt desw weiteren folgende Dateien hinzu:
%system%\Bride.exe (enthält den W32.Funlove.4099)
%system%\Msconfig.exe
%system%\regedit.exe
(%system% ist dabei der Systempfad)
Im Registrierungseditor wird unter dem Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
der Wert "regedit %system%\regedit.exe" hinzugefügt. Dadurch wird der Wurm bei jedem Windowsstart ebenfalls ausgeführt. Außerdem fügt der Brid noch drei weitere Schlüssel unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer
hinzu.
Die Weiterverbreitung per Email erfolgt über eine eigene SMTP-Routine. Der Virus wird an alle gefundenen Emailadressen im Oulook-Adressbuch, sowie an alle gefundenen Adressen in HTML-Dateien und .dbx-Dateien weitergesendet.
Schutz & Entfernung:
Der Wurm nutzt
eine Sicherheitslücke des MIME Header im Internet Explorer 5.01 und Internet
Explorer 5.5. Um die Lücke zu schließen solltet ihr dieses Patch
von Microsoft installieren.
Zur Entfernung des Wurms solltet ihr eine aktualisierung der Virendefinitionen eurer Anti-Virus-Software vornehmen und einen kompletten Systemscan durchführen. Die infizierten Dateien sollten dann repariert werden. Danach löscht ihr die hinzugefügten Schlüssel im Registrierungseditor und zusätzlich noch die oben genannten hinzugefügten Dateien. Nach einem Neustart sollte wiederum ein kompletter Systemscan mit der Anti-Virus-Software durchgeführt werden.
Copyright liegt bei All-About-PC. Alle Rechte vorbehalten.
Alle Information auf dieser Website durch All-About-PC urheberrechtlich geschützt.
Reproduktion und Vertrieb in jeglicher Form ohne Zustimmung der Redaktion sind
verboten.
Wiewohl alle Informationen auf dieser Website streng recherchiert und weitestgehend durch
Sekundärquellen gegengeprüft und bestätigt werden, kann für den Inhalt und daraus
etwaig entstehenden Schaden keine Verantwortung übernommen werden. |
|
