Nombre: W32/Badtrans.B
Origen:
El 24 de noviembre de 2001 apareció por primera vez en Gran Bretaña.
Propagación:
Se propaga a través del correo electrónico por una vulnerabilidad de Outlook e Internet Explorer.
Extensión:
Este virus se ha propagado de una forma increíble, superando a los virus SirCam
y Nimda de este año. Se ha extendido por toda latinoamérica y norteamércia,
España, Sucia, Noruga, Dinamarca, Francia, Alemania, Reino Unido, etc., son
los países más afectados. Asia no ha sido afectado.
Efectos del virus:
Deja un agujero en la conexión con el exterior y con esto es posible entrar
en una PC y sacar información (password, tarjetas, números, capturar el teclado,
etc.) de todo tipo como si se estuviese usando la computadora remotamente.
Características:
Se propaga rápidamente. El e-mail suele ocupar entre 30 y 40 KB. y en su asunto
se lee generalmente "RW" o "RE" y suele no tener ningún mensaje. Su adjunto
engaña con doble extensión (ejemplos: README.DOC.pif ó FUN.ZIP.scr) y por lo
tanto las extensiones reales del archivo son ".scr" o ".pif" y no ".DOC" o ".ZIP"
Actuación:
Debido a una debilidad de Internet Explorer 5.01 y 5.5, logra ejecutarse con la
simple vista previa del correo en Outlook. De esta manera instala un troyano en
la computadora. Además, envía automáticamente e-mails a mensajes no
respondidos y con esto logra extenderse.
Al ejecutarse copia tres archivos en la subcarpeta SYSTEM de Windows:
(1) El mismo gusano:
../system/KERNEL32.EXE
(2) El troyano que captura y almacena las pulsaciones en el teclado, guardándose
en el archivo número (3):
../system/kdll.dll
(3) El archivo que funciona como registro de la captura del troyano:
../system/cp_25389.nls
Además, añade al registro una entrada, con lo cual logra ejecutarse en cada
sesión que se inicia.
Finalmente, los registros se envían al correo "[email protected]".
Técnicas:
Se ejecuta automáticamente un binario adjunto a un e-mail. Para hacerlo, modifica
la cabecera MIME y por lo tanto simula ser un formato confiable. Outlook lo
abre (con intermediación de Internet Explorer) sin hacerle preguntas al usuario.
Para no enviar dos veces al mismo destinatario un e-mail, el gusano tiene un
registro en la carpeta SYSTEM llamado "PROTOCOL.DLL"
Daños:
Hasta el momento no hubo mayores problemas con el virus.
Precauciones:
La gran mayoría de los portales de web-mail están bloqueando al gusano.
Desactivar la función de previsualización de los mensajes en Outlook.
Actualizarse a Internet Explorer 6 (o actualización a Service Pack 2 o mayor).
Pero esto no nos protege, pues si se abre manualmente el sistema se infecta.
Solución / desinfección:
Se deben borrar los archivos mencionados en "Actuación" y borrar la clave del
registro correspondiente.
Panda antivirus logra removerlo con su aplicación PQREMOVE, gratuito en
su página web.