病毒名称:
W32.Brid.B@mm
类别: 蠕虫
病毒资料:
受影响系统:Windows 95, Windows 98, Windows NT, windows 2000, Windows XP, Windows Me
不受影响系统:Macintosh, OS/2, Unix, Linux
病毒危害:
1.会向本地.htm及.dbx文件中的邮件地址发送大量病毒邮件;
2.试图终止各种反病毒及安全程序的进程
病毒传播:
主题:[已注册Windows的公司名称]
正文:
Hello,
My name is donkey-virus.
I wish you a merry Christmas and happy new year.
Thank you.
附件:Readme.exe
技术特征:
这是前一段时间出现的“新娘”蠕虫的变种,会利用自带的SMTP引擎向.htm及.dbx文件中的邮件地址发送病毒邮件。变种同样会终止各种反病毒及防火墙程序的进程。它利用了“错误MIME头部可导致IE自动运行邮件附件”的IE漏洞,详细请参阅微软漏洞公告:http://www.microsoft.com/technet/treeview/default.ASP?url=/technet/security/bulletin/MS01-020.asp
与原版“新娘”不同,新变种并不会复制W32.Funlove.4099或W32.Funlove.int病毒到被感染的机器上。运行后,它首先显示一幅图片:
然后在Windows桌面上创建两个文件:
Madam.eml
Madam.exe (蠕虫副本)
其中Madam.eml是一个Outlook Express文件,若该文件在未安装补丁的机器上打开,附件(即蠕虫本身)就会自动运行。
同时,变种会终止含有如下字符串的进程:
dbg
mon
vir
iom
anti
fire
prot
secu
view
debug
然后利用自带的SMTP引擎向htm及dbx文件中的邮件地址发送病毒邮件。变种会对发件人进行伪装。
变种清除:
删除查到的W32.Brid.B@mm文件。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
别名:W32/Braid.b@MM [McAfee]
发现日期:
2002-11-18
