Envíanos un mensaje


Enviar
 Categoría:  Informática / Seguridad / Virus

marca Virus Badtrans

 Toda la información sobre este virus Autor: Alegsa
Fecha: 2001-12-06
¿Dudas? ¿Problemas? Escriba aquí
Anuncios

Nombre: W32/Badtrans.B

Origen:
El 24 de noviembre de 2001 apareció por primera vez en Gran Bretaña.

Propagación:
Se propaga a través del correo electrónico por una vulnerabilidad de Outlook e Internet Explorer.

Extensión:
Este virus se ha propagado de una forma increíble, superando a los virus SirCam y Nimda de este año. Se ha extendido por toda latinoamérica y norteamércia, España, Sucia, Noruga, Dinamarca, Francia, Alemania, Reino Unido, etc., son los países más afectados. Asia no ha sido afectado.

Efectos del virus:
Deja un agujero en la conexión con el exterior y con esto es posible entrar en una PC y sacar información (password, tarjetas, números, capturar el teclado, etc.) de todo tipo como si se estuviese usando la computadora remotamente.

Características:
Se propaga rápidamente. El e-mail suele ocupar entre 30 y 40 KB. y en su asunto se lee generalmente "RW" o "RE" y suele no tener ningún mensaje. Su adjunto engaña con doble extensión (ejemplos: README.DOC.pif ó FUN.ZIP.scr) y por lo tanto las extensiones reales del archivo son ".scr" o ".pif" y no ".DOC" o ".ZIP"

Actuación:
Debido a una debilidad de Internet Explorer 5.01 y 5.5, logra ejecutarse con la simple vista previa del correo en Outlook. De esta manera instala un troyano en la computadora. Además, envía automáticamente e-mails a mensajes no respondidos y con esto logra extenderse.

Al ejecutarse copia tres archivos en la subcarpeta SYSTEM de Windows:

(1) El mismo gusano:
../system/KERNEL32.EXE

(2) El troyano que captura y almacena las pulsaciones en el teclado, guardándose en el archivo número (3):
../system/kdll.dll

(3) El archivo que funciona como registro de la captura del troyano:
../system/cp_25389.nls

Además, añade al registro una entrada, con lo cual logra ejecutarse en cada sesión que se inicia.

Finalmente, los registros se envían al correo "uckyjw@hotmail.com".

Técnicas:
Se ejecuta automáticamente un binario adjunto a un e-mail. Para hacerlo, modifica la cabecera MIME y por lo tanto simula ser un formato confiable. Outlook lo abre (con intermediación de Internet Explorer) sin hacerle preguntas al usuario.

Para no enviar dos veces al mismo destinatario un e-mail, el gusano tiene un registro en la carpeta SYSTEM llamado "PROTOCOL.DLL"

Daños:
Hasta el momento no hubo mayores problemas con el virus.

Precauciones:
La gran mayoría de los portales de web-mail están bloqueando al gusano.
Desactivar la función de previsualización de los mensajes en Outlook.
Actualizarse a Internet Explorer 6 (o actualización a Service Pack 2 o mayor). Pero esto no nos protege, pues si se abre manualmente el sistema se infecta.

Solución / desinfección:

Se deben borrar los archivos mencionados en "Actuación" y borrar la clave del registro correspondiente.
Panda antivirus logra removerlo con su aplicación PQREMOVE, gratuito en su página web.








Notas Relacionadas

¿Dudas? ¿Comentarios? Escriba aquí


   Comentarios y dudas Foros de Alegsa.com.ar

    No hay ningún comentario todavía

ayuda
¿preguntas? ¿dudas?
Ingrese al Foro
Todos los derechos reservados © 1998 - 2017 - ALEGSA - Santa Fe, Argentina.
Políticas del sitio web - Contacto - Publicidad