Terjed a Bridex féregvírus

[2F] A Bridex egy e-mail féregvírus, melyet először 2002. november 4-én észleltek. A Visual Basic nyelven készült féreg általában email üzenetek mellékletében érkezik, README.EXE néven. A víruskód a közismert I-Frame.exploit microsoftos böngészőhiba felhasználásával megpróbál automatikusan lefutni az Outlook / Outlook Express levelezőrendszerek betekintő ablakában.

A Bridex létrehoz egy EML állományt a munkaasztalon, és a Funlove vírust is elhelyezi a rendszerben. A féreg ezenkívül felülírja Registry Editor (REGEDIT.EXE fájlt) saját másolatával, és készít egy ezt automatikusan elindító regisztrációs bejegyzést. Létrehoz még egy BRIDE.EXE nevű állományt a Windows System alkönyvtárban, ez maga a régebbi Funlove vírus kódja, de az eredeti Funlove szöveget a víruskészítői felülírták a "'DonkeyoVaccineiEraser" sztringgel. Ezzel a Funlove kóddal felülírja még az MSCONFIG.EXE állomány elejét is.

A féreg elhelyez egy HELP.EML állományt is a munkaasztalon. Ez tartalmazza a MIME kódolt féreg másolatát a benne lévő IFrame exploittal és egy olyan HTML szöveget, ami megjeleníti a Windows verziószámát, a termék ID számát és regisztrálási kulcsot. Ha a felhasználó erre rákattint, a féreg a működésbe lép, amennyiben a gépen Internet Explorer és Outlook Express fut, és nem lett lefuttatva a megfelelő MS hibajavító patch.

A fertőzött gép munkaasztalán létrehoz ezenkívül saját másolatával egy EXPLORER.EXE állományt is. Ennek ikonja viszont nem a Windows Exploreré, hanem az Interner Exploreré lesz.

A Bridex féreg analizálása jelenleg is tart. Az F-Secure és Kaspersky Anti-Virus programok a 2002. november 4. legfrissebb adatállományokkal már képesek detektálni.