zur�ck zur Hauptseite
english version  english version
letzte Meldungen
Praktische Anleitung zum PC-Eigenbau
Diskussionsforum rund um den PC!
Tests, Infos und W�rterb�cher!

Tips & Trick f�r Microsoft Produkte!
Editoriales - interessante Berichte im Bereich der IT
Viren: Prophylaxe, Erkennung und Entfernung
Infos zu den neuesten DVDs, deren Features und auch zur DVD Hardware
Login zu Deinem pers�nlichen Bereich
Username:
Passwort:
Nur nicht kontaktscheu. Schreiben Sie uns!



 
 Aktuelle Testberichte 

Direkt zum Video!
Shark Zone H30
Gaming Headset
Direkt zum Video!
Belkin Charge Dock für
Apple Watch/iPhone
Direkt zum Tes!
TrekStor SufTab duo W1
Volks-Tablet
Direkt zum Test!
BABYLON-PRO

EPSON DX3850

UMFRAGE
Kaufst Du PC, Handy etc. Elektronikartikel bei Lebensmittel-Discountern?
Sehr oft
Nur bei Super-Angeboten
Nein, aber ich achte darauf
aus Prinzip nicht
simyo - Weil einfach einfach einfach ist.
 Testberichte 
H�ttest Du's gewu�t?
Drag & Drop auf minimierte Fenster
AAPC zeigt, wie's geht!
 Viren 
0 Aktuelle Schn�ppchen
AAPCSI
Der All About PC Schn�ppchen Index: Statistik: Anzahl Schn�ppchen pro Tag
AAPC Newsletter
 Neues aus dem Forum 
FOREN BEI AAPC:   HARDWARE   SOFTWARE   DVD

simyo - Weil einfach einfach einfach ist.

Gefahr

   

 Verbreitung 

   

Name des Virus

W32.Brid.A@mm

Typ

Internet Wurm

befallene Betriebssysteme

Windows 9x/NT/2000/ME/XP

Alias

PE_BRID.A, W32/Braid@mm,
W32/Braid-A, Win32.Bra

Infizierung:
Der Wurm ist eine modifizierte Version des Funlove-Viruses. Hauptunterschied zum Funlove ist die benutzte Datei. Der Brid nutzt die Bride.exe, Funlove die Flcss.exe.
Die Infektionsmail hat folgendes Aussehen:

Von [registrierter Windows Benutzername]
Betreff [registrierter Windows Firmenname]
Mailtext Product Name: [Windowsversion]
Product ID: [Windows ID]
Product Key: [Windows Key]
Process List: [Liste der laufenden Prozesse]

Dabei sind die in []-gehaltenen Informationen von dem infizierten Computer. Als Anhang der Mail ist der Wurm in Form einer Readme.exe hinzugefügt. Sobald die Email auch nur angesehen wird, nimmt das Unheil seinen Lauf.

Schadensroutine:
Nach dem bloßen Anschauen der Mail beginnt die Schadensroutine. Zunächst versucht sich Brid zu www.hotmail.com zu verbinden. Schlägt dies fehl, so verzögern sich die nächsten Routinen ein wenig. Es werden einige Datei auf dem System hinzugefügt, die Registrierungsdatei wird modifiziert, eine Variante vom W32.Funlove.4099 wird ausgeführt und der Wurm wird an alle Kontakte des Outlook-Adressbuches in obiger Form weitergeschickt.
Die Dateien Help.eml, Explorer.exe werden generiert. Help.eml ist eine Microsoft Outlook Express Datei. Wenn sie auf einem nicht gepatchten System geöffnet wird, so wird der Mailanhang, also der Wurm, automatisch ausgeführt. Explorer.exe ist eine Kopie des Wurms. Beide Dateien werden dann auf den Desktop kopiert. Der Brid fügt desw weiteren folgende Dateien hinzu:
%system%\Bride.exe (enthält den W32.Funlove.4099)
%system%\Msconfig.exe
%system%\regedit.exe
(%system% ist dabei der Systempfad)

Im Registrierungseditor wird unter dem Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
der Wert "regedit %system%\regedit.exe" hinzugefügt. Dadurch wird der Wurm bei jedem Windowsstart ebenfalls ausgeführt. Außerdem fügt der Brid noch drei weitere Schlüssel unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer
hinzu.
Die Weiterverbreitung per Email erfolgt über eine eigene SMTP-Routine. Der Virus wird an alle gefundenen Emailadressen im Oulook-Adressbuch, sowie an alle gefundenen Adressen in HTML-Dateien und .dbx-Dateien weitergesendet.

Schutz & Entfernung:
Der Wurm nutzt eine Sicherheitslücke des MIME Header im Internet Explorer 5.01 und Internet Explorer 5.5. Um die Lücke zu schließen solltet ihr dieses Patch von Microsoft installieren.

Zur Entfernung des Wurms solltet ihr eine aktualisierung der Virendefinitionen eurer Anti-Virus-Software vornehmen und einen kompletten Systemscan durchführen. Die infizierten Dateien sollten dann repariert werden. Danach löscht ihr die hinzugefügten Schlüssel im Registrierungseditor und zusätzlich noch die oben genannten hinzugefügten Dateien. Nach einem Neustart sollte wiederum ein kompletter Systemscan mit der Anti-Virus-Software durchgeführt werden.

 Zurück 
 Zur Virenübersicht 
 Virusbeschreibung per Email senden 
 Virusbeschreibung ausdrucken 

Copyright liegt bei All-About-PC. Alle Rechte vorbehalten.
Alle Information auf dieser Website durch All-About-PC urheberrechtlich geschützt. Reproduktion und Vertrieb in jeglicher Form ohne Zustimmung der Redaktion sind verboten. 
Wiewohl alle Informationen auf dieser Website streng recherchiert und weitestgehend durch Sekundärquellen gegengeprüft und bestätigt werden, kann für den Inhalt und daraus etwaig entstehenden Schaden keine Verantwortung übernommen werden.