Nombre de virus: W32/Braid@mm
Alias conocidos: I-worm.Bradex, W32/Brid
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero adjunto infectado o lectura del e-mail sin parches
Propagación: Por envío masivo de e-mails infectados a direcciones de archivos *.HTM y *.DBX
Detección: desde DATS 4232
Motor necesario: desde 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)

El gusano w32/Braid@MM ya ha sido detectado en nuestro país, y aunque está controlado desde DATS 4232, si ya lo tenían antes de actualizar a estos DATS, se habrá recibido una doble infección, la de este BRAID y la de otro virus variante de un viejo conocido, el FUNLOVE, pero en este caso el fichero que utiliza para propagar el virus no es el FLCSS.EXE del original FUNLOVE, sino uno nuevo que se llama BRIDE.EXE y que se instala en el directorio de sistema de Windows, al mismo tiempo que instala copias del gusano del w32/BRAID en este mismo directorio, con el nombre de REGEDIT.EXE y MSCONFIG.EXE.

Debido a ello queda sobreescrito el fichero MSCONFIG.EXE del sistema operativo, debiendo ser reemplazado con una copia del original o bien, en Windows98, extraerlo con el SFC.EXE desde el CDROM de instalación de Windows. Nótese que en el caso del REGEDIT.EXE existe el original en el directorio de Windows, por lo que la entrada del gusano con su mismo nombre, pero en otro directorio, se elimina borrándolo sin perder nada.

Por otro lado también crea el gusano en el escritorio con el nombre de EXPLORER.EXE, y también crea el fichero HELP.EML en este mismo directorio, conteniendo el mismo e-mail con el que entró el virus.

Luego, crea una clave en el registro de sistema desde la que carga el virus ejecutando el fichero gusano REGEDIT.EXE del directorio de sistema, en cada reinicio de Windows.

W32/Braid@MM explota la conocida vulnerabilidad Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability (MS01-020), de manera que por sólo abrir el mensaje con Outlook Express, se autoejecuta el fichero adjunto, y a través del propio motor SMTP del gusano, se envia masivamente a todas las direcciones que encuentra en ficheros *.HTM y *.DBX, correspondientes a páginas web y a bases de datos de Outlook. Estas direcciones son usadas tanto en los campos de destinatario como de remitente de los e-mails, por lo que se creerá que los e-mails vienen de otra procedencia.

Este virus se propaga por LAN a través de recursos compartidos, por lo cual es muy importante tener aplicado el SP1 de Viruscan 4.5.1

El gusano EXPLORER.EXE que crea en el escritorio, además de poner el virus en memoria, lleva a dos páginas de Internet , www. Hotmail.com y www .sex.com

ELIMINACIÓN:

Para la eliminación del virus, además del borrado de los ficheros gusano y de las claves del registro de sistema afectadas por el virus, hemos creado la utilidad ELIBRAID.EXE, tras cuya ejecución deberá ejecutarse la utilidad LIMPIA.EXE para desinfectar todos los ficheros infectados con el FUNLOVE. (utilizar LIMPIANT.BAT si es Windows NT, 2000, XP)

Es importante que tanto para ejecutar el ELIBRAID.EXE como para ejecutar el LIMPIA.EXE, se haya desactivado el VSHIELD residente, lo cual se logra fácilmente pulsando con el Botón derecho sobre el icono del VSHIELD, dentro de la barra de INICIO, e indicar SALIR. o

Para descargar las utilidades correspondientes, :

Pulsar aquí para bajar el ELIBRAID.EXE

Pulsar aquí para bajar el LIMPIA.EXE

Pulsar aquí para bajar el LIMPIANT.BAT (Sólo si se tiene Windows NT, 2000, XP)

SATINFO, VIRUSCAN SPAIN SERVICE 08 de Noviembre de 2002

Anterior