26/11/01

NOTICIAS

Nueva variante de ejecución automática de Badtrans


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

Una de las diferencias con el original, que apareció el pasado mes de abril, es que se activa con sólo previsualizar el e-mail que lo contiene
Las casas desarrolladoras de soluciones de seguridad informan de la aparición en Europa el pasado día 24 de una nueva versión del gusano Badtrans, que hizo su aparición el pasado abril. Badtrans.B presenta algunas diferencias con respecto a su predecesor, la más importante es que ahora ejecuta el archivo adjunto infectado con sólo previsualizar el e-mail que lo contiene. Para ello explota la conocida vulnerabilidad de la cabecera MIME que afecta a determinadas versiones de los programas Outlook, Outlook Express e Intenet Explorer de Microsoft.

Badtrans.B es un gusano residente en memoria que se propaga vía correo electrónico. Se recibe en un mensaje que tiene las siguientes características:

Remitente: puede ser el original o uno de la siguiente lista:

"Anna"
"JUDY"
"Rita Tulliani"
"Tina"
"Kelly Andersen"
"Andy"
"Linda"
"Mon S"
"Joanna"
"JESSICA BENAVIDES"
"Administrator"
"Admin"
"Support"
"Monika Prado"
"Mary L. Adams"
"Anna"
"JUDY"
"Tina"


Asunto: vacío o "Re:"

Texto del mensaje: vacío.

Adjunto: compuesto por alguno de los siguientes nombres más dos extensiones (la primera de ellas ficticia para engañar al usuario):

FUN
HUMOR
DOCS
INFO
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
STUFF
SEARCHURL
YOU_ARE_FAT!
HAMSTER
NEWS_DOC
New_Napster_Site
README
IMAGES
PICS

Las extensiones ficticias que presenta el archivo adjunto puede ser alguna de estas tres: .DOC, .MP3 y .ZIP. Las verdaderas extensiones del archivo son "sif" o "scr".

Cuando el usuario recibe el e-mail infectado, el gusano se copia a si mismo en el directorio System de Windows con el nombre de KERNEL32.EXE creando al mismo tiempo otros dos archivos CP_25389.NLS (recoge datos encriptados del virus) y KDLL.DLL (un troyano que roba contraseñas). Además, Badtrans.B procede a borrarse del directorio desde el que se ejecutó la primera vez.

Luego pasa a registrarse como un servicio lo que le permite permanecer oculto en memoria sin aparecer en la lista de tareas que se están desarrollando. El gusano también modifica el registro de Windows para ejecutarse de manera automática cada vez que se reinicie el PC infectado:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
kernel32 = "kernel32.exe"

Para finalizar, Badtrans.B crea la clave "RunOnce" cada vez que Windows la borra tras ejecutar su contenido.

El troyano que transporta Badtrans.B (de nombre PSV.Hooker, PWS.A o NK.svr, según distintos anti-virus) se encarga de almacenar todo lo que el usuario del equipo teclea, esto le permite hacerse con claves, nombres de usuarios, números de tarjetas de crédito...

La recomendación en esta ocasión es la de parchear los programas de software que presenten vulnerabilidades, no es para tomárselo a broma si tenemos en cuenta que una vez más un gusano explota un agujero de seguridad para el que ya había solución. Junto a esta medida, se impone la necesidad de actualizar regularmente los programas anti-virus.


Copyright © VIRUSPROT.COM