5 listopada 2002

I-Worm.Bridex (znany również jako Brid) - podrzuca wirusa "Funlove"

Jest to robak rozprzestrzeniający się poprzez internet jako załącznik zainfekowanej wiadomości e-mail. Szkodnik ma postać pliku PE EXE o rozmiarze około 115 KB i został stworzony przy pomocy języka programowania Visual Basic. W celu uruchomienia się z zarażonej wiadomości robak wykorzystuje lukę w zabezpieczeniach znaną jako IFRAME.

Zainfekowane wiadomości posiadają puste pole tematu, nazwa załącznika to README.EXE, natomiast treść wygląda następująco:

Hello,
Product Name: <dane>
Product Id: <dane>
Product Key: <dane>
Process List: <dane>
Thank you.

gdzie <dane> to informacje pobrane przez wirusa z zainfekowanego komputera, przykładowo:

Hello,
Product Name: Microsoft Windows 98
Product Id: 50392-668-0444778-23555
Process List: NoneNone
Thank you.

Niektóre z powyższych linii (z wyjątkiem pierwszej i ostatniej) mogą nie pojawić się w treści zainfekowanej wiadomości, ponieważ szkodnik nie zawsze może pobrać z systemu odpowiednie informacje.

Instalacja

Podczas instalacji robak kopiuje się z nazwą REGEDIT.EXE do systemowego folderu Windows oraz do folderu pulpitu Windows jako EXPLORER.EXE, a następnie tworzy klucz auto-run rejestru systemowego dla pierwszej kopii:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
regedit = %WinSystem%\regedit.exe

Ponadto wirus szuka aktywnych aplikacji antywirusowych i podejmuje próbę zakończenia ich działania.

Rozprzestrzenianie

W celu pobrania adresów "ofiar" robak skanuje wszystkie pliki HTM oraz DBX w poszukiwaniu tekstów podobnych do kontaktów e-mail (z wyjątkiem adresów zawierających ciąg @microsoft.com).

Zainfekowane wiadomości wysyłane są przy użyciu bezpośredniego połączenia z domyślnym serwerem SMTP.

Ponadto podczas rozprzestrzeniania się robak tworzy następujące pliki tymczasowe:

  • Help.eml - w folderze pulpitu Windws,
  • Brade0.tmp - w tymczasowym folderze Windows,
  • Brade1.tmp - w tymczasowym folderze Windows.

Funkcje dodatkowe

W zależności od własnych liczników wewnętrznych robak otwiera strony: http://www.hotmail.com oraz http://www.sex.com.

Ponadto szkodnik umieszcza w systemowym folderze Windows plik MSCONFIG.EXE zawierający modyfikację wirusa "Funlove".