W32/Badtrans.B
Nombre: W32/Badtrans.B
Alias: WORM_BADTRANS.B, W32/Badtrans-B, Backdoor-NK.svr, BadTrans, I-Worm.Badtrans,
W32.Badtrans.29020@mm, IWorm_Badtrans, TROJ_BADTRANS.B, BADTRANS.B, I-WORM.BADTRANS,
W32/BadTrans.B-mm
Variantes: badtrans-a
Tipo: Gusano y caballo de Troya
Tamaño: 29,020 Bytes
Fecha: 24/11/01
En abril de 2001, fue detectada la primera
versión de este gusano. El mismo poseía algunos errores de programación
que disminuyeron su peligrosidad.
Esta nueva versión posee algunas pequeñas diferencias, pero la más importante
es que ahora es capaz de ejecutar el archivo adjunto recibido en un mensaje
infectado, sin necesidad de que el usuario abra dicho adjunto. Para ello utiliza
una conocida vulnerabilidad en las extensiones MIME en programas de correo que
se basan en el Internet Explorer (Microsoft Outlook y Microsoft Outlook
Express).
Badtrans.B es un gusano de Internet, que permanece residente
en memoria cuando se ejecuta, y que puede propagarse vía e-mail a través del
Outlook y del Outlook Express, utilizando la interface de programación MAPI.
Lo podemos recibir en un mensaje sin texto visible y con un adjunto que puede
tener diferentes nombres, creado con las siguientes combinaciones:
La primera parte se selecciona de esta lista:
FUN
HUMOR
DOCS
INFO
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
STUFF
SEARCHURL
YOU_ARE_FAT!
HAMSTER
NEWS_DOC
New_Napster_Site
README
IMAGES
PICS
La segunda, contiene una de las siguientes extensiones:
.DOC.
.MP3.
.ZIP.
Y la última parte (la verdadera extensión del archivo), puede ser una de las siguientes:
pif
scr
Un par de ejemplos de estas combinaciones:
New_Napster_Site.MP3.scr
README.DOC.pif
Como antes se ha mencionado, esta variante utiliza una vulnerabilidad conocida
(Automatic Execution of Embedded MIME type) para ejecutarse sin necesidad de
abrir el adjunto, es decir, con solo leer el mensaje o verlo en el panel de vista
previa, se ejecuta el virus.
Cuando esto ocurre, el gusano se copia a si mismo en el directorio System de
Windows, como Kernel32.exe, y también crea allí los archivos cp_25389.nls,
y kdll.dll:
C:\Windows\System\KERNEL32.EXE
C:\Windows\System\cp_25389.nls
C:\Windows\System\kdll.dll
Hay que recordar que en esa misma carpeta existe el archivo Kernel32.dll,
que es un archivo legítimo de Windows.
Además, el gusano borra su copia original del directorio en que fue ejecutado.
Luego se registra a si mismo como un servicio, para permanecer en memoria sin
aparecer en la lista de tareas que se están ejecutando (por lo tanto permanece
oculto al pulsar CTRL+ALT+SUPR).
El archivo CP_25389.NLS son datos cifrados del virus.
El archivo KDLL.DLL es un troyano con capacidad de robar las contraseñas
de la máquina infectada (Trojan.PSW.Hooker, Backdoor-NK.svr, Troj.PWS.A).
El registro de Windows es modificado para que el gusano se ejecute automáticamente
en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
kernel32 = "kernel32.exe"
Como la clave "RunOnce" se ejecuta una sola
vez (y Windows la borra luego de ejecutar su contenido), el gusano la vuelve a
crear cada vez.
Troyano liberado por el BadTrans.B
Nombre: Troj/PWS-AV
Tipo: Caballo de Troya
Este troyano es liberado por el Badtrans.B. Una vez activo, se encarga de
registrar todo lo tecleado por el usuario infectado, lo que le permite capturar
y obtener información personal, como nombre de usuario y contraseñas,
información relacionada con tarjetas de crédito, cuentas bancarias, etc.