W32/Braid.B@mm, W32/Brid.B@MM, I-worm.Bride.B,

Braid, es un gusano variante del Braid, reportado el 20 de Noviembre del 2002, de propagación masiva a través de mensajes de correo e infecta con tan solo leer el mensaje, aprovechando la vulnerabilidad del MIME exploit que ejecuta el archivo bajo la opción de vista previa del software de correo.

Se auto-envía con un archivo anexado de nombre README.EXE que tiene 88 KB, desarrollado en Visual Basic 6.0.

Aunque es un PE (Portable Ejecutable) únicamente infecta a Windows 95/98/NT/Me/XP, debido a errores en su programación.

Los campos De: y el Asunto: son extraídos de las siguientes llaves de registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RegisteredOrganization]

Al ser ejecutado el archivo, el gusano se auto-copia a %Windows Desktop% con los siguientes nombres:

%Windows Desktop%\MADAM.EML (es la plantilla de correo usada para el auto-envío)
%Windows Desktop%\MADAM.EXE (es el gusano en sí)

%Windows Desktop% es una variable que corresponde a C:\Windows\Escritorio en Windows 95/98/Me/XP.

Este gusano es auto-ejecutable en memoria dinámica y no crea o modifica ninguna llave de registro para activarse la próxima vez que se inicie el sistema.

El gusano anula los procesos y servicios que tengan las siguientes sub-cadenas:

• MST
• MS_
• S -
• _NP
• VIEW
• IRMON
• SMTPSVC
• MONIKER
• PROGRAM

También anulará los procesos y servicios que tengan las siguientes cadenas:

• dbg
• mon
• vir
• iom
• anti
• fire
• prot
• secu
• view
• debug

Esta especie viral posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía masivamente a todas las direcciones de correo del sistema infectado, capturados en los archivos con extensiones .DBX y .HTM y al terminar el envío muestra este gráfico: 

PER ANTIVIRUS® versiones 7.7 y 7.8 con registro de virus al 20 de Noviembre del 2002 detectan y eliminan eficientemente este gusano.