"新娘"病毒

病毒名称：Win32.Braid.A

别名：PE_BRID.A [Trend]， W32/Braid@mm [McAfee]， W32/Braid-A [Sophos]， Win32.Braid.A [CA]

病毒类型：Win32蠕虫

发现日期：2002-11-04

危害级别：中

传播速度：高病毒危害

1、大量发送邮件：会向Outlook地址簿、htm及dbx文件中的地址发送大量病毒邮件；

2、删除文件：系统目录下的MSconfig.exe会被覆盖；

3、降低系统性能：若此病毒在内存中激活，机器会变得非常慢并且时不时地停止响应；

4、导致系统不稳定：若在内存中激活，机器可能会崩溃或对任何指令都不响应。

病毒传播

1、邮件

发件人：[已注册Windows的用户名]

主题：[已注册Windows的公司名]

正文：

Product Name： [Windows Version]

Product ID： [Windows ID]

Product Key： [Key]

Process List： [List of processes]

附件：Readme.exe（114，687字节）

注意；[]中的数据来源于被感染机器。邮件预览时病毒就会自动运行。

2、共享磁盘：Funlove会感共享磁盘上的文件技术特征

这是一个邮件蠕虫，且携带了一个经轻微修改后的Funlove变种。它不会在Win2K或WinNT系统上运行。如果在Win95或98上运行，它会用Win32.FunLove病毒代码覆盖系统目录下的MSCONFIG.EXE文件。被覆盖后，此文件只有从安装盘上才能恢复。另外一个含有Funlove代码的BRIDE.EXE文件也会生成到系统目录下。大部分的杀毒软件都能查杀Funlove病毒了。

此蠕虫还会在系统目录下生成一个自己的副本REGEDIT.EXE，注意：这是一个有效的Windows系统文件名，原文件位于Windows目录下。另外，会在HKCUSoftwareMicrosoftWindowsCurrentVersionRun下创建一个键值，使得机器每次重启时蠕虫都自动运行。它还会生成两个病毒副本放在被感染机器的桌面上，分别为EXPLORER.EXE 及 HELP.EML.后者是一个Outlook Express邮件，利用MS-01-02漏洞在未打补丁的系统上自动运行附件。

为了迷惑用户，此蠕虫文件的属性显示为 "Anti Virus World System" from "Trend Microsoft Inc."此蠕虫运行后，首先偿试连接www.hotmail.com，如果连接不成功，它会间隔一会再连接。接着插入几个文件到本地系统上，修改注册表，运行Funlove变种，并向Outlook地址簿中的联系人发送病毒邮件。