Brid est
un virus qui
se propage par email. Il se présente sous la forme
d'un message au titre aléatoire comportant un fichier
attaché README.EXE. Si ce fichier est exécuté,
le virus se copie sur le bureau Windows sous les noms HELP.EML
et EXPLORER.EXE, puis copie un second virus nommé Funlove
dans le répertoire système de Windows sous le
nom BRIDE.EXE. Une fois exécuté, ce dernier
infecte tous les fichiers .EXE, .SCR et .OCX présents
sur le disque local et se propage via les dossiers partagés.
PREVENTION
:
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
d'Internet Explorer 5.01 et 5.5 doivent aussi mettre
à jour leur navigateur via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille exploitée par le virus
pour s'exécuter automatiquement. Il faut enfin
supprimer
les partages de ressources inutiles et protéger
les autres par mot de passe afin de prévenir
toute propagation du virus.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixBrid pour rechercher et
éliminer le virus. En cas de contamination d'un
réseau local, les ordinateurs infectés doivent être
déconnectés du réseau, et n'être reconnectés que lorsque
tous les ordinateurs ont été désinfectés.
|
TYPE
:
Ver
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS
:
Win32.Braid.A (CA)
Bridex
(F-Secure)
I-worm.Bradex (Kaspersky)
W32/Braid@MM (McAfee)
W32/Braid-A (Sophos)
W32.Brid.A@mm (Symantec)
PE_BRID.A
(Trend Micro)
TAILLE
:
114.687 octets
DECOUVERTE
:
04/11/2002
DESCRIPTION
DETAILLEE :
Le virus
Brid se présente sous la forme d'un message comportant
un fichier attaché README.EXE et dont le nom d'expéditeur,
le titre et le corps sont personnalisés selon les paramètres
Windows de l'utilisateur infecté :
De:
(nom d'utilisateur de la personne infectée)
Objet: (nom de l'organisation de la personne
infectée)
Message:
Hello,
Product Name: (version de Windows)
Product Id: (ID produit de Windows)
Product Key: (clé produit de Windows)
Process List: (liste de noms et descriptions de processus)
Thank
you.
|
Le virus
utilise une vulnérabilité IFRAME des navigateurs
Internet Explorer 5.01 et 5.5 (MS01-020)
pour s'exécuter automatiquement à l'ouverture
du message ou lors de son affichage dans la fenêtre
de prévisualisation avec les logiciels Outlook ou Outlook
Express.
Si le
fichier joint est exécuté, le virus se copie
sur le disque en écrasant le fichier MSCONFIG.EXE du
répertoire système de Windows et en le remplaçant
par une variante du virus Funlove.
Brid copie dans ce même répertoire un nouvel
exemplaire du virus Funlove
sous le nom BRIDE.EXE, ainsi qu'un exemplaire de lui-même
sous le nom REGEDIT.EXE. Attention : un fichier du même
nom appartenant au système d'exploitation existe dans
le répertoire Windows, il ne faut pas le supprimer.
Le virus
modifie ensuite la base de registres pour que le fichier REGEDIT.EXE
contaminé soit exécuté à chaque
démarrage de Windows (HKEY_LOCAL_MACHINE\ Software\
Microsoft\ Windows\ CurrentVersion\ Run\ regedit="C:\ %SYSTEM%\
regedit.exe"), se copie à nouveau sur le bureau Windows
sous les noms HELP.EML (courrier électronique) et EXPLORER.EXE
(navigateur Internet Explorer), puis
utilise son propre serveur SMTP pour s'envoyer aux adresses
email trouvées dans le carnet d'adresses du logiciel
de messagerie Outlook, les messages en attente dans la boîte
de réception et les fichiers .DBX et .HTM. Le virus
peut s'envoyer avec une fausse adresse d'expéditeur
(souvent l'adresse du destinataire lui-même), il est
donc impossible de prévenir la personne infectée.
Brid peut par ailleurs s'envoyer de très nombreuses
fois au même destinataire.
Brid et
Funlove étant résidant
en mémoire, le système peut répondre
plus lentement aux sollicitations de l'utilisateur, voire
devenir instable. La variante du virus Funlove
est normalement déjà détectée
par la plupart des antivirus.
Une fois exécutée, elle infecte tous les fichiers
.EXE, .SCR et .OCX présents sur le disque local et
se propage via les dossiers partagés.
INFORMATIONS
COMPLEMENTAIRES :
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|