ALEGSA.com.ar

Virus Badtrans

Toda la información sobre este virus
Autor: Leandro Alegsa
06-12-2001
Virus Badtrans


Compartir:

Para poder mantener nuestro sitio web gratuito nos ayudas mucho si nos sigues en nuestras Redes Sociales

Nombre: W32/Badtrans.B

Origen:
El 24 de noviembre de 2001 apareció por primera vez en Gran Bretaña.

Propagación:
Se propaga a través del correo electrónico por una vulnerabilidad de Outlook e Internet Explorer.

Extensión:
Este virus se ha propagado de una forma increíble, superando a los virus SirCam y Nimda de este año. Se ha extendido por toda latinoamérica y norteamércia, España, Sucia, Noruga, Dinamarca, Francia, Alemania, Reino Unido, etc., son los países más afectados. Asia no ha sido afectado.

Efectos del virus:
Deja un agujero en la conexión con el exterior y con esto es posible entrar en una PC y sacar información (password, tarjetas, números, capturar el teclado, etc.) de todo tipo como si se estuviese usando la computadora remotamente.

Características:
Se propaga rápidamente. El e-mail suele ocupar entre 30 y 40 KB. y en su asunto se lee generalmente "RW" o "RE" y suele no tener ningún mensaje. Su adjunto engaña con doble extensión (ejemplos: README.DOC.pif ó FUN.ZIP.scr) y por lo tanto las extensiones reales del archivo son ".scr" o ".pif" y no ".DOC" o ".ZIP"

Actuación:
Debido a una debilidad de Internet Explorer 5.01 y 5.5, logra ejecutarse con la simple vista previa del correo en Outlook. De esta manera instala un troyano en la computadora. Además, envía automáticamente e-mails a mensajes no respondidos y con esto logra extenderse.

Al ejecutarse copia tres archivos en la subcarpeta SYSTEM de Windows:

(1) El mismo gusano:
../system/KERNEL32.EXE

(2) El troyano que captura y almacena las pulsaciones en el teclado, guardándose en el archivo número (3):
../system/kdll.dll

(3) El archivo que funciona como registro de la captura del troyano:
../system/cp_25389.nls

Además, añade al registro una entrada, con lo cual logra ejecutarse en cada sesión que se inicia.

Finalmente, los registros se envían al correo "[email protected]".

Técnicas:
Se ejecuta automáticamente un binario adjunto a un e-mail. Para hacerlo, modifica la cabecera MIME y por lo tanto simula ser un formato confiable. Outlook lo abre (con intermediación de Internet Explorer) sin hacerle preguntas al usuario.

Para no enviar dos veces al mismo destinatario un e-mail, el gusano tiene un registro en la carpeta SYSTEM llamado "PROTOCOL.DLL"

Daños:
Hasta el momento no hubo mayores problemas con el virus.

Precauciones:
La gran mayoría de los portales de web-mail están bloqueando al gusano.
Desactivar la función de previsualización de los mensajes en Outlook.
Actualizarse a Internet Explorer 6 (o actualización a Service Pack 2 o mayor). Pero esto no nos protege, pues si se abre manualmente el sistema se infecta.

Solución / desinfección:
Se deben borrar los archivos mencionados en "Actuación" y borrar la clave del registro correspondiente.
Panda antivirus logra removerlo con su aplicación PQREMOVE, gratuito en su página web.


Compartir nota:

 


articulos
Asistente IA
Escribe tu consulta sobre informática y tecnologías al asistente de Inteligencia Artificial
¡te responderá en segundos!




* ACLARACIÓN: Sugerimos dejar tu email si quieres que te contactemos para una respuesta de nuestro staff o corregir la respuesta de la IA.


Nuestras Redes

Puedes seguirnos y contactarnos en nuestras redes.
Facebook
WhatsApp
Instagram
Facebook Horoscopo
Usa nuestro buscador para definiciones, informática y tecnologías

Diccionario informático

Búsqueda por letra

A B C D E F G H I J K M N O P Q R S T U V W X Y Z 0-9

Búsqueda por categorías

Almacenamiento Aplicaciones Hardware Desarrollo web Memorias Programación Seguridad Teoría de Sistemas Windows Más categorías

Nuestras Redes

¡Novedades de la web y contáctanos en nuestras redes sociales!
Facebook
Facebook Horoscopo
Instagram
Twitter
WhatsApp

Secciones de Alegsa