"新娘"病毒
病毒名称:Win32.Braid.A
别名:PE_BRID.A [Trend], W32/Braid@mm [McAfee], W32/Braid-A [Sophos], Win32.Braid.A [CA]
病毒类型:Win32蠕虫
发现日期:2002-11-04
危害级别:中
传播速度:高病毒危害
1、大量发送邮件:会向Outlook地址簿、htm及dbx文件中的地址发送大量病毒邮件;
2、删除文件:系统目录下的MSconfig.exe会被覆盖;
3、降低系统性能:若此病毒在内存中激活,机器会变得非常慢并且时不时地停止响应;
4、导致系统不稳定:若在内存中激活,机器可能会崩溃或对任何指令都不响应。
病毒传播
1、邮件
发件人:[已注册Windows的用户名]
主题:[已注册Windows的公司名]
正文:
Product Name: [Windows Version]
Product ID: [Windows ID]
Product Key: [Key]
Process List: [List of processes]
附件:Readme.exe(114,687字节)
注意;[]中的数据来源于被感染机器。邮件预览时病毒就会自动运行。
2、共享磁盘:Funlove会感共享磁盘上的文件技术特征
这是一个邮件蠕虫,且携带了一个经轻微修改后的Funlove变种。它不会在Win2K或WinNT系统上运行。如果在Win95或98上运行,它会用Win32.FunLove病毒代码覆盖系统目录下的MSCONFIG.EXE文件。被覆盖后,此文件只有从安装盘上才能恢复。另外一个含有Funlove代码的BRIDE.EXE文件也会生成到系统目录下。大部分的杀毒软件都能查杀Funlove病毒了。
此蠕虫还会在系统目录下生成一个自己的副本REGEDIT.EXE,注意:这是一个有效的Windows系统文件名,原文件位于Windows目录下。另外,会在HKCUSoftwareMicrosoftWindowsCurrentVersionRun下创建一个键值,使得机器每次重启时蠕虫都自动运行。它还会生成两个病毒副本放在被感染机器的桌面上,分别为EXPLORER.EXE 及 HELP.EML.后者是一个Outlook Express邮件,利用MS-01-02漏洞在未打补丁的系统上自动运行附件。
为了迷惑用户,此蠕虫文件的属性显示为 "Anti Virus World System" from "Trend Microsoft Inc."此蠕虫运行后,首先偿试连接www.hotmail.com,如果连接不成功,它会间隔一会再连接。接着插入几个文件到本地系统上,修改注册表,运行Funlove变种,并向Outlook地址簿中的联系人发送病毒邮件。