[ virus.neobee.net ]

VIRUS INFO
Naziv virusa:	Win32.Braid.A
Alias:	W32.Brid.A@mm, PE_BRID.A, I-worm.Bridex, PE_Funlove.4099
Tip:	worm
Način širenja:	e-mailom
Veličina:	118 787 bajtova za fajl README.EXE ili 4 608 bajtova za BRIDE.EXE
Destruktivan:	ne
Datum aktiviranja:	otvaranjem pristigle pošte
Otkriven:	5.11.2002.

OBJAŠNJENJE
Stiže kao sa sledećim karakteristikama:

Pošiljalac: %registrovani vlasnik inficiranog računara%
Subject: %ime kompanije inficiranog računara%
Telo poruke:

Hello,
Product Name: %verzija_Windows_operativnog_sistema%
Product Id: %Windows_product_broj%
Product Key: %Windows_product_registracioni_ključ%

Process List: %procesi koji su bili startovani u vreme slanja%

Thank you.

Attachment: README.EXE ili BRIDE.EXE. ()

Pošto crv, koji je napisan u programskom jeziku Visual Basic, koristi propust operativnog sistema (MIME i IFRAME) i odmah će, po otvaranju pristiglog e-maila, startovati attachment.

Crv će se presnimiti prvih 4 608 bajtova u fajlu MSCONFIG.EXE sa virus kôdom Win32.FunLove.
Fajl BRIDE.EXE će biti iskopiran u direktorijum C:\ WINDOWS \ SYSTEM.

Crv će zatim kreirati sledeći fajl
C:\ WINDOWS \ SYSTEM \ REGEDIT.EXE

a odmah zatim i ključ u Registry bazi:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ regedit = "C:\ WINDOWS \ SYSTEM \ REGEDIT.EXE"

kako bi se startovao svaki put kada korisnik startuje Windsows.
Objašnjenje: crv hoće korinika da zbuni sa nazivom fajla da pomisli da je taj fajl sastavni deo operativnog sistema, međutim, originalni REGEDIT.EXE se nalazi u C:\WINDOWS direktorijumu.

Da bi došao do e-mail adresa ne koje će se poslati, crv će skenirati, u zavisnosti od verzije Windsows sledeće direktorijume:
Windows 9x (95, 95SR, 98, 98SE) :
% putanja do sistemskog direktorijuma %\History\
% putanja do sistemskog direktorijuma %\Cookies\
% putanja do sistemskog direktorijuma %\Temporary Internet Files\

Windows 2000:
Documents and Settings\%CurrentUser%\Cookies
Documents and Settings\%CurrentUser%\Local Settings\Temporary Internet Files

Crv će kreirati dve ikonice na korisnikovom desktopu HELP.EML i EXPLORER.EXE. Obe ikonice sadrže kôd virusa. ()
Da bi zavarao korisnika, kada se pogleda Properties fajla, crv se predstavlja kao fajl koji je kreiran od strane neke AV kompanije koja ne postoji ali je kombinacijom reči dobijen naziv. ()

REŠENJE
Preuzmite cleaner. ( )
Uvek preporučujem osveženi antivirusni program.

Na ovim stranicama ćete uvek biti obavešteni o novim virusima koji se pojavljuju kao i načinom uklanjanja istih sa vašeg računara. Pored virusa, na ovom sajtu možete naći najefektnije načine zaštite od virusa kao i zaštita od upada u vaš računar.

Virus Informacioni Centar je otvoren za sva vaša pitanja, preloge, kao i sugestije u vezi ovog sajta.

Virus Informacioni Centar
Neobee.net ISP
Email : virus@neobee.net
ICQ : 48089085

VIrus Informacioni centar
Broj poseta31231 poseta od 23.03.2001.