Braid

BRAID, infecta visualizando el mensaje, infecta archivos e inutiliza el sistema operativo.

W32/Braid@mm, W32/Brid@MM, I-worm.Bride,

Braid, es un gusano destructivo reportado el 04 de Noviembre del 2002 de propagación masiva a través de mensajes de correo e infecta con tan solo leer el mensaje, al vulnerar el MIME exploit que ejecuta el archivo bajo la opción de vista previa del software de correo. Se auto-envía con un archivo anexado de nombre README.EXE que tiene una extensión de 112 KB.

Está desarrollado en Visual Basic y al infectar libera el archivo BRIDE.EXE de 4.5 KB, un PE (Portable Ejecutable) que infecta a los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP.

Ejemplo de mensaje:

Al ejecutar el archivo anexado, el gusano se auto-copia a la carpeta %system% con los siguientes nombres:

%system%\regedit.exe
%system%\Msconfig.exe
%system%\Bride.exe

Dejando inutilizado al verdadero REGEDIT.EXE propio del sistema operativo.

Para activarse la próxima vez que se inicie el sistema modifica la siguiente llave en el registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
regedit = "C:\%system%\regedit.exe"

También crea la siguiente llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

El gusano intenta anular los procesos y servicios que tengan las siguientes cadenas:

MST
MS_
- S
_NP
VIEW
IRMON
SMTPSVC
MONIKER
PROGRAM

Asimismo al iniciar el sistema infectado, si el gusano detecta algún programa con las siguientes cadenas, procede a "colgar" el sistema, el mismo que deberá ser re-iniciado:

mon
vir
iom
anti
fire
prot
secu
view
debug

El gusano muestra en forma aleatoria este gráfico:

Esta especie viral posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía masivamente a todas las direcciones de correo del sistema infectado, capturados en los archivos con extensiones .DBX y .HTM

El parche para esta vulnerabilidad MIME exploit debe ser descargado de:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Su payload destructivo consiste en copiar su código en los archivos con extensión .EXE, .OCX y .SCR dejándolos truncos e inutilizando el sistema operativo, siendo necesario volver a instalarlo.

PER ANTIVIRUS® versión 7.7 con registro de virus al 04 de Noviembre del 2002 detecta y elimina eficientemente este gusano.