Más vale prevenir...
"BadTrans.B" explota una vulnerabilidad conocida de Internet Explorer a través de la cual es posible forzar la ejecución automática de un binario adjunto en un mensaje de correo (.EML). Para lograrlo modifica la cabecera MIME que hace referencia al archivo de forma que simula ser un formato confiable. Esto provoca que Internet Explorer lo abra sin preguntar al usuario. Esta vulnerabilidad es heredada por los clientes de correo Outlook y Oulook Express, ya que utilizan el componente de Internet Explorer para visualizar los mensajes HTML.
El problema de la ejecución automática afecta a los usuarios de Internet Explorer, versiones 5.01 y 5.5, que no tengan actualizado su navegador. La solución pasa por migrar a Internet Explorer 6 o actualizar sus versiones con los últimos parches acumulativos, como mínimo el Service Pack 2 o actualizaciones posteriores.
Descarga Internet Explorer 6
http://www.microsoft.com/windows/ie/default.asp
Internet Explorer 5.01 - Service Pack (19 junio, 2001)
http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp
Internet Explorer 5.5 - Service Pack 2 (2 agosto, 2001)
http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp
Con estas actualizaciones evitaremos que "BadTrans.B" se pueda ejecutar de forma automática, pero aun podremos ser infectados si recibimos un mensaje infectado y abrimos el archivo adjunto de forma manual. Una vez más recordamos la regla de oro: "No abrir archivos adjuntos que no hayamos solicitado".
Así nos llega...
"BadTrans.B" suele llegar en un correo electrónico sin texto en el cuerpo del mensaje y adjunto en un archivo con las siguientes características:
El nombre del archivo puede ser (incluida variantes mayúsculas/minúsculas):
Pics
Card
images
Me_nude
README
Sorry_about_yesterday
New_Napster_Site
info
news_doc
docs
HAMSTER
Humor
YOU_are_FAT!
fun
stuff
SEARCHURL
SETUP
S3MSONG
Primera extensión:
.DOC
.ZIP
.MP3
Segunda extensión (real):
.scr
.pif
Por ejemplo: "Pics.DOC.scr" o "Card.MP3.pif"
Infectando...
Cuando logra ejecutarse en un sistema, "BadTrans.B" copia tres archivos en el directorio sistema de Windows, por defecto como:
c:windowssystemKERNEL32.EXE (el gusano)
c:windowssystemkdll.dll (troyano que captura el teclado)v c:windowssystemcp_25389.nls (registro de captura del troyano)
También añade una entrada en el registro de Windows para asegurarse que se ejecuta con cada inicio de sesión:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce Kernel32 = kernel32.exe
Para evitar enviarse dos veces a un mismo destinatario, "BadTrans" lleva un registro con todas las direcciones a las que se envía, en el archivo PROTOCOL.DLL, que también sitúa en el directorio de sistema de Windows.
Tal y como hemos visto, el gusano también posee un módulo que actúa de troyano (kdll.dll) interceptando y almacenando todas las pulsaciones de teclado que haga la víctima. Las capturas se guardan en un archivo (cp_25389.nls) y son enviadas a la dirección de correo "uckyjw@hotmail.com". Allí el creador del gusano podrá recoger información sensible, tales como contraseñas, tarjetas de crédito, etc, que el troyano haya capturado de los sistemas infectados.
Para desinfectarlo de forma manual basta con eliminar los tres archivos mencionados junto con la clave del registro.
Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=1127
Más información:
I-Worm.BadtransII
http://www.avp.ch/avpve/worms/email/badtrans2.stm
W32/Badtrans@MM
http://vil.nai.com/vil/virusSummary.asp?virus_k=99069
W32/Badtrans-B
http://www.sophos.com/virusinfo/analyses/w32badtransb.html
WORM_BADTRANS.B
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_BADTRANS.B
Reproducido de Hispasec
"BadTrans.B" explota una vulnerabilidad conocida de Internet Explorer a través de la cual es posible forzar la ejecución automática de un binario adjunto en un mensaje de correo (.EML). Para lograrlo modifica la cabecera MIME que hace referencia al archivo de forma que simula ser un formato confiable. Esto provoca que Internet Explorer lo abra sin preguntar al usuario. Esta vulnerabilidad es heredada por los clientes de correo Outlook y Oulook Express, ya que utilizan el componente de Internet Explorer para visualizar los mensajes HTML.
El problema de la ejecución automática afecta a los usuarios de Internet Explorer, versiones 5.01 y 5.5, que no tengan actualizado su navegador. La solución pasa por migrar a Internet Explorer 6 o actualizar sus versiones con los últimos parches acumulativos, como mínimo el Service Pack 2 o actualizaciones posteriores.
Descarga Internet Explorer 6
http://www.microsoft.com/windows/ie/default.asp
Internet Explorer 5.01 - Service Pack (19 junio, 2001)
http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp
Internet Explorer 5.5 - Service Pack 2 (2 agosto, 2001)
http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp
Con estas actualizaciones evitaremos que "BadTrans.B" se pueda ejecutar de forma automática, pero aun podremos ser infectados si recibimos un mensaje infectado y abrimos el archivo adjunto de forma manual. Una vez más recordamos la regla de oro: "No abrir archivos adjuntos que no hayamos solicitado".
Así nos llega...
"BadTrans.B" suele llegar en un correo electrónico sin texto en el cuerpo del mensaje y adjunto en un archivo con las siguientes características:
El nombre del archivo puede ser (incluida variantes mayúsculas/minúsculas):
Pics
Card
images
Me_nude
README
Sorry_about_yesterday
New_Napster_Site
info
news_doc
docs
HAMSTER
Humor
YOU_are_FAT!
fun
stuff
SEARCHURL
SETUP
S3MSONG
Primera extensión:
.DOC
.ZIP
.MP3
Segunda extensión (real):
.scr
.pif
Por ejemplo: "Pics.DOC.scr" o "Card.MP3.pif"
Infectando...
Cuando logra ejecutarse en un sistema, "BadTrans.B" copia tres archivos en el directorio sistema de Windows, por defecto como:
c:windowssystemKERNEL32.EXE (el gusano)
c:windowssystemkdll.dll (troyano que captura el teclado)v c:windowssystemcp_25389.nls (registro de captura del troyano)
También añade una entrada en el registro de Windows para asegurarse que se ejecuta con cada inicio de sesión:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce Kernel32 = kernel32.exe
Para evitar enviarse dos veces a un mismo destinatario, "BadTrans" lleva un registro con todas las direcciones a las que se envía, en el archivo PROTOCOL.DLL, que también sitúa en el directorio de sistema de Windows.
Tal y como hemos visto, el gusano también posee un módulo que actúa de troyano (kdll.dll) interceptando y almacenando todas las pulsaciones de teclado que haga la víctima. Las capturas se guardan en un archivo (cp_25389.nls) y son enviadas a la dirección de correo "uckyjw@hotmail.com". Allí el creador del gusano podrá recoger información sensible, tales como contraseñas, tarjetas de crédito, etc, que el troyano haya capturado de los sistemas infectados.
Para desinfectarlo de forma manual basta con eliminar los tres archivos mencionados junto con la clave del registro.
Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=1127
Más información:
I-Worm.BadtransII
http://www.avp.ch/avpve/worms/email/badtrans2.stm
W32/Badtrans@MM
http://vil.nai.com/vil/virusSummary.asp?virus_k=99069
W32/Badtrans-B
http://www.sophos.com/virusinfo/analyses/w32badtransb.html
WORM_BADTRANS.B
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_BADTRANS.B
Reproducido de Hispasec
