w32/badtrans.b
En abril de 2001, fue detectada la primera versión de este gusano. El mismo poseía algunos errores de programación que disminuyeron su peligrosidad.
Esta nueva versión posee algunas pequeñas diferencias, pero la más importante es que ahora es capaz de ejecutar el archivo adjunto recibido en un mensaje infectado, sin necesidad de que el usuario abra dicho adjunto. Para ello utiliza una conocida vulnerabilidad en las extensiones MIME en programas de correo que se basan en el Internet Explorer (Microsoft Outlook y Microsoft Outlook Express).
El parche para esta vulnerabilidad está disponible en el sitio de Microsoft. Siga las instrucciones del siguiente artículo para su instalación: http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Badtrans.B es un gusano de Internet, que permanece residente en memoria cuando se ejecuta, y que puede propagarse vía e-mail a través del Outlook y del Outlook Express, utilizando la interface de programación MAPI.
Lo podemos recibir en un mensaje sin texto visible y con un adjunto que puede tener diferentes nombres, creado con las siguientes combinaciones:La primera parte se selecciona de esta lista:
FUN
DOCS
HUMOR
INFO
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
STUFF
SEARCHURL
YOU_ARE_FAT!
HAMSTER
NEWS_DOC
New_Napster_Site
README
IMAGES
PICS
La segunda, contiene una de las siguientes extensiones:
.DOC
.MP3
.ZIP
Y la última parte (la verdadera extensión del archivo), puede ser una de las siguientes:
pif
scr
Un par de ejemplos de estas combinaciones:
New_Napster_Site.MP3.scr
README.DOC.pif
Como vimos, esta variante utiliza una vulnerabilidad conocida (Automatic Execution of Embedded MIME type) para ejecutarse sin necesidad de abrir el adjunto, por solo leer el mensaje o verlo en el panel de vista previa.
Cuando esto ocurre, el gusano se copia a si mismo en el directorio System de Windows, como Kernel32.exe, y también crea allí los archivos cp_25389.nls, y kdll.dll:
C:\Windows\System\KERNEL32.EXE
C:\Windows\System\cp_25389.nls
C:\Windows\System\kdll.dll
Note que en esa misma carpeta existe el archivo Kernel32.dll, que es un archivo legítimo de Windows.
Además, el gusano borra su copia original del directorio en que fue ejecutado.
Luego se registra a si mismo como un servicio, para permanecer en memoria sin aparecer en la lista de tareas que se están ejecutando (por lo tanto permanece oculto al pulsar CTRL+ALT+SUPR).
El archivo CP_25389.NLS son datos encriptados del virus.
El archivo KDLL.DLL es un troyano con capacidad de robar las contraseñas de la máquina infectada (Trojan.PSW.Hooker, Backdoor-NK.svr, Troj.PWS.A).
El registro de Windows es modificado para que el gusano se ejecute automáticamente en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
kernel32 = "kernel32.exe"
Como la clave "RunOnce" se ejecuta una sola vez (y Windows la borra luego de ejecutar su contenido), el gusano la vuelve a crear cada vez.
Troyano liberado por el BadTrans.B
Nombre: Troj/PWS-AV
Tipo: Caballo de Troya
Este troyano es liberado por el Badtrans.B. Una vez activo, se encarga de registrar todo lo tecleado por el usuario infectado, lo que le permite capturar y obtener información personal, como nombre de usuario y contraseñas, información relacionada con tarjetas de crédito, cuentas bancarias, etc.
Desinfección con Kaspersky Antivirus:
1. Ejecute un antivirus actualizado, configure el escaner para que le pregunte qué hacer y para que revise las bases de datos de correo, el correo en texto plano y todos los archivos. Cuando salte el diálogo de desinfección, indiquele que desinfecte, si esto no es posible, volvrá a saltar el diálogo, indiquele que elimine y compruebe si le indica que al finalizar necesita reiniciar la máquina.
2. Si el escaner le indica que debe reiniciar la máquina, reiniciela y vuelva a pasar el escaner igual que indicamos en el paso anterior para comprobar que la máquina está limpia.
Para eliminar el gusano manualmente:
1. Ejecute un antivirus actualizado.
2. En Inicio, Buscar, Archivos o carpetas.
3. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".
4. En la casilla "Nombre" escriba (o "corte y pegue") lo siguiente:
CP_25389.NLS
5. Haga click en "Buscar ahora".
6. Si aparece este archivo, márquelo.
7. Pulse la tecla SUPR o DEL, y en SI para confirmar el borrado.
8. Vaya a la papelera de reciclaje en el escritorio, con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".
9. Ejecute ésta utilidad para limpiar el registro.
10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
11. Ejecute un antivirus al día, y borre todos los archivos que éste identifique como infectados con Badtrans.B o sus variantes.
Los archivos que debe borrar en esta etapa son los siguientes, y puede usar lo indicado en los puntos 2 al 8 inclusive para hacerlo (con el respectivo nombre de archivo en cada caso):
kdll.dll
KERNEL32.EXE
Se recomienda a los usuarios tengan actualizado el antivirus y en caso de estar infectados, se pongan en contacto con nosotros en: soporte@codine.es
Glosario:
MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.
MIME (Multipurpose Internet Mail Extensions) - Es un protocolo que no especifica los mecanismos de transmisión o recepción de la información, sino la codificación y formato de los contenidos de los mensajes. Permite el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el contenido incluido en el cuerpo del mensaje.
Más de 10 años como Distribuidor Oficial de Kaspersky Lab
