|
|
| Nombre: | W32/Badtrans@MM
/ W32/Badtrans.gen@MM Alias: W32.Badtrans.13312@mm, I-Worm.Badtrans, Backdoor-NK.svr, W32/Badtrans.B, W32/Badtrans.B@mm, W32/Badtrans-B, W32/Badtrans.29020@mm, W32/Badtrans.gen@MM |
| Tipo: | Gusano E-mail |
| Tamaño: | Variantes: .A (13,312 bytes), B (29020 bytes) |
| Origen: | Variantes: .A (Abril del 2001), B (26/Noviembre/2001) |
| Destructivo: | SI (la PC es controlada remotamente) |
| En la calle (in the wild): | SI |
| Detección y Eliminación |
Variante .A - The Hacker 5.0, registro=20/04/2001 Variante .B - The Hacker 5.1, registro=26/11/2001 |
Descripción
W32/Badtrans es un gusano que se propaga vía E-mail respondiendo todos los mensajes sin leer de la bandeja de entrada en Microsoft Outlook.
Características del mensaje de E-mail:
El sujeto y cuerpo del mensaje son variables: El virus responde todos los mensajes sin leer, modifica el sujeto anteponiendo el texto "RE: {sujeto original}" y adjunta un archivo infectado, el nombre del archivo adjunto es seleccionado al azar entre:
Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif
Si se abre el archivo adjunto infectado el gusano muestra el mensaje:
"Install error"
"File data corrupt: probably due to a bad data transmission or bad disk
access."
inmediatamente copia el archivo infectado en la carpeta \WINDOWS como INETD.EXE
y modifica las Opciones de configuración de Windows (archivo WIN.INI)
para ejecutar INETD.EXE en cada inicio de Windows.
[Windows]
Run=INETD.EXE
El gusano también crea 2 archivos adicionales en la carpeta \WINDOWS
con nombre KERN32.EXE y HKSDLL.DLL. El archivo EXE se añade al registro
de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32="kern32.exe"
En cada inicio del sistema se ejecuta el gusano (INETD.EXE) y backdoor (KERN32.EXE):
INETD.EXE: El gusano se envía automáticamente replicando todos los mensajes sin leer de la Bandeja de entrada de Outlook. Las características del mensaje infectado se indican líneas arriba.
KERN32.EXE: Contiene un backdoor que envía vía e-mail la dirección IP de la PC infectada hacia el autor del gusano, de esta forma el autor del gusano puede controlar la PC remotamente vía Internet.
VARIANTES:
B: Reportada el 26/11/2001. El cuerpo del mensaje está en blanco,
el nombre del archivo adjunto es generado al azar combinando las siguientes
palabras:
1- FUN, HUMOR, DOCS, INFO, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, STUFF, SEARCHURL, YOU_ARE_FAT!, HAMSTER, NEWS_DOC, New_Napster_Site, README, IMAGES, PICS.
2- .DOC, .MP3, .ZIP
3- .PIF, .SCR
Ejemplo de nombres de archivos adjuntos generados al azar:
"PICS.doc.scr"
"Hamster.mp3.pif"
Al ejecutar el archivo infectado el gusano crea los siguiente archivos en WINDOWS
SYSTEM:
- KERNEL32.EXE (copia del gusano)
- KDLL.DLL (troyano que roba contraseñas de Windows y las envía
a su autor en Internet)
El gusano se envía a todos los mensajes sin leer de la Bandeja de Entrada, asimismo extrae direcciones de E-mail de los archivos *.ASP y *.HT* y también se envía.
Añade una entrada en el registro para ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
kernel32 = "kernel32.exe"
Derechos reservados 1992/2001 HackSoft S.R.L. Lima-Perú