martes, 27 de noviembre de 2001

"BadTrans.B": preguntas y respuestas

"BadTrans.B" sigue propagándose por todo el mundo, con especial
virulencia en Europa en comparación con Estados Unidos. En la entrega
de hoy vamos a dar respuesta a las consultas más usuales que los
lectores nos han hecho llegar con respecto a las recomendaciones que
proponíamos para prevenir y eliminar a este gusano.
La noticia original sobre la descripción, prevención y eliminación de
"BadTrans.B" puede encontrarse en la dirección:

http://www.hispasec.com/unaaldia.asp?id=1127

>Soy usuario de Mac, pero me pregunta mi hermano cómo puede
>desembarazarse del BadTrans. Le he indicado que borre manualmente
>los archivos que mencionáis en vuestra última noticia, pero el
>kdll.dll y el KERNEL32.EXE no se lo permite "por estar en uso"

Dile que pulse: Inicio -> Apagar el sistema -> Reiniciar en modo
MS-DOS

A continuación: cd system (pulsar intro) -> del kernel32.exe (pulsar
intro) -> del kdll.dll (pulsar intro)

>He logrado borrar los archivos que comentáis en vuestra noticia,
>¿pero como se quita lo del registro de Windows?

Pulsa: Inicio -> Ejecutar -> escribe "regedit" -> botón Aceptar

En la ventana que aparece, pulsar en el menú Edición -> Buscar ->
escribe "kernel32.exe" -> botón Aceptar

Comenzará la búsqueda, si encuentra una entrada (aparecerá señalada
la palabra "Kernel32" en la columna Nombre y "kernel32.exe" en
Datos) pulsa la tecla "Supr", a la pregunta "¿Confirma que desea
eliminar est valor?" pulsa el botón "Sí".

>A la hora de actualizar el Internet Explorer, en Hispasec dais unos
>enlaces diferentes a los que recomiendan los antivirus, ¿por qué?
>¿cual debo instalar?

Ambos son correctos, si bien el que proponemos nosotros es más
recomendable. La mayoría de los antivirus han recurrido al parche
que Microsoft distribuyó cuando se conoció la vulnerabilidad (29
marzo 2001), mientras que nosotros recomendamos la instalación
del Service Pack 2 para Internet Explorer (19 junio 2001 en el
caso de IE5.01, y 2 agosto 2001 para IE5.5).

La diferencia está en que el parche concreto solo corrige esta
vulnerabilidad, mientras que el Service Pack 2 es acumulativo,
corrige la misma vulnerabilidad y además recoge todas las demás
conocidas hasta la fecha de su publicación.

Otro problema al instalar parches concretos de hace meses es que
pueden provocar problemas de regresión de vulnerabilidades
posteriores. Por ejemplo, en el caso de alguien que ya tuviera
instalado el Service Pack 2 y que a posteriori instalara un
parche concreto anterior (por ejemplo el del 29 de marzo).



Bernardo Quintero
bernardo@hispasec.com


Más información:

25/11/2001 - Nueva variante del gusano BadTrans
http://www.hispasec.com/unaaldia.asp?id=1127