Új féregvírus: Bridex

forrás: Prim Online forrás: Prim Online, 2002. november 4. 19:19
A Bridex egy e-mail féregvírus, melyet először 2002. november 4-én észleltek. A Visual Basic nyelven készült féreg általában e-mail üzenetek mellékletében érkezik, README.EXE néven. Névváltozatai: Braid, W32/Braid@mm, W32/Braid.A-mm, I-Worm.Bridex, I-Worm.Bradex.
A víruskód a közismert I-Frame.exploit microsoftos böngészőhiba felhasználásával megpróbál automatikusan lefutni az Outlook / Outlook Express levelezőrendszerek betekintő ablakában.

A Bridex létrehoz egy EML állományt a munkaasztalon (hasonlóan a NIMDA-hoz) és a Funlove vírust is elhelyezi a rendszerben.

A féreg ezenkívül felülírja Registry Editor (REGEDIT.EXE fájlt) saját másolatával, és készít egy ezt automatikusan elindító regisztrációs bejegyzést.

Létrehoz még egy BRIDE.EXE nevű állományt a Windows System alkönyvtárban, ez maga a régebbi Funlove vírus kódja, de az eredeti Funlove szöveget a víruskészítői felülírták a 'DonkeyoVaccineiEraser' sztringgel. Ezzel a Funlove kóddal felülírja még az MSCONFIG.EXE állomány elejét is.

A féreg elhelyez egy HELP.EML állományt is a munkaasztalon. Ez tartalmazza a MIME kódolt féreg másolatát a benne lévő IFrame exploittal és egy olyan HTML szöveget, ami megjeleníti a Windows verziószámát, a termék ID számát és regisztrálási kulcsot. Ha a felhasználó erre rákattint, a féreg a működésbe lép, amennyiben a gépen Internet Explorer és Outlook Express fut, és nem lett lefuttatva a megfelelő MS hibajavító patch.

A fertőzött gép munkaasztalán létrehoz ezenkívül saját másolatával egy EXPLORER.EXE állományt is. Ennek ikonja viszont nem a Windows Exploreré, hanem az Interner Exploreré lesz.

A féreg analizálása még jelenleg is tart.

Az F-Secure és Kaspersky Anti-Virus programok a 2002. november 4. legfrissebb adatállományokkal már képesek detektálni.