"BadTrans.B", un gusano/troyano que se ditribuye por correo
electrónico y que es capaz de ejecutarse de forma automática en
Outlook y Outlook Express con tan sólo visualizar un mensaje
infectado.
Más vale prevenir...
"BadTrans.B" explota una vulnerabilidad conocida de Internet Explorer
a través de la cual es posible forzar la ejecución automática de un
binario adjunto en un mensaje de correo (.EML). Para lograrlo modifica
la cabecera MIME que hace referencia al archivo de forma que simula
ser un formato confiable. Esto provoca que Internet Explorer lo abra
sin preguntar al usuario. Esta vulnerabilidad es heredada por los
clientes de correo Outlook y Oulook Express, ya que utilizan el
componente de Internet Explorer para visualizar los mensajes HTML.
El problema de la ejecución automática afecta a los usuarios de
Internet Explorer, versiones 5.01 y 5.5, que no tengan actualizado su
navegador. La solución pasa por migrar a Internet Explorer 6 o
actualizar sus versiones con los últimos parches acumulativos, como
mínimo el Service Pack 2 o actualizaciones posteriores.
Descarga Internet Explorer 6
http://www.microsoft.com/windows/ie/default.asp
Internet Explorer 5.01 - Service Pack (19 junio, 2001)
http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp
Internet Explorer 5.5 - Service Pack 2 (2 agosto, 2001)
http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp
Con estas actualizaciones evitaremos que "BadTrans.B" se pueda
ejecutar de forma automática, pero aun podremos ser infectados si
recibimos un mensaje infectado y abrimos el archivo adjunto de forma
manual. Una vez más recordamos la regla de oro: "No abrir archivos
adjuntos que no hayamos solicitado".
Así nos llega...
"BadTrans.B" suele llegar en un correo electrónico sin texto en el cuerpo
del mensaje y adjunto en un archivo con las siguientes características:
El nombre del archivo puede ser (incluida variantes mayúsculas/minúsculas):
Pics
Card
images
Me_nude
README
Sorry_about_yesterday
New_Napster_Site
info
news_doc
docs
HAMSTER
Humor
YOU_are_FAT!
fun
stuff
SEARCHURL
SETUP
S3MSONG
Primera extensión:
.DOC
.ZIP
.MP3
Segunda extensión (real):
.scr
.pif
Por ejemplo: "Pics.DOC.scr" o "Card.MP3.pif"
Infectando...
Cuando logra ejecutarse en un sistema, "BadTrans.B" copia tres
archivos en el directorio sistema de Windows, por defecto como:
c:\windows\system\KERNEL32.EXE (el gusano)
c:\windows\system\kdll.dll (troyano que captura el teclado)v
c:\windows\system\cp_25389.nls (registro de captura del troyano)
También añade una entrada en el registro de Windows para asegurarse
que se ejecuta con cada inicio de sesión:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Kernel32 = kernel32.exe
Para evitar enviarse dos veces a un mismo destinatario, "BadTrans"
lleva un registro con todas las direcciones a las que se envía, en el
archivo PROTOCOL.DLL, que también sitúa en el directorio de sistema
de Windows.
Tal y como hemos visto, el gusano también posee un módulo que actúa
de troyano (kdll.dll) interceptando y almacenando todas las
pulsaciones de teclado que haga la víctima. Las capturas se guardan
en un archivo (cp_25389.nls) y son enviadas a la dirección de correo
"uckyjw@hotmail.com". Allí el creador del gusano podrá recoger
información sensible, tales como contraseñas, tarjetas de crédito,
etc, que el troyano haya capturado de los sistemas infectados.
Para desinfectarlo de forma manual basta con eliminar los tres archivos
mencionados junto con la clave del registro.
Bernardo Quintero
bernardo@hispasec.com
bernardo@hispasec.com
Más información:
I-Worm.BadtransII
http://www.avp.ch/avpve/worms/email/badtrans2.stm
W32/Badtrans@MM
http://vil.nai.com/vil/virusSummary.asp?virus_k=99069
W32/Badtrans-B
http://www.sophos.com/virusinfo/analyses/w32badtransb.html
WORM_BADTRANS.B
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_BADTRANS.B
