Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

BadTrans.B se propaga rápidamente en todo el mundo
 
VSantivirus No. 507 - Año 6 - Martes 27 de noviembre de 2001

BadTrans.B se propaga rápidamente en todo el mundo
Por Jose Luis Lopez
videosoft@videosoft.net.uy


Cuando en la mañana y tarde del lunes 26, nuestro servicio técnico empezó a recibir computadoras de usuarios infectados por la nueva variante del BadTrans.B, en una coincidencia poco común, supimos que nos enfrentábamos a un gusano que sin dudas estaba destinado a dejar su huella.

También nuestras casillas empezaron a recibir mensajes infectados (casi 20 en poco más de 6 horas). Y esta cifra, que solo se da contadas veces para un solo virus, sigue aumentando.

Sin dudas, BadTrans.B (o BadTrans II), está superando los récords del SirCam, gusano que en las primeras horas de su descubrimiento (17/jul/01), consiguió un índice de incidencias pocas veces visto antes.

Cuando éste gusano fue reportado por primera vez el pasado fin de semana, algunos fabricantes de antivirus, catalogaron el nivel de alerta del mismo como de nivel medio. Pero muchos cambiaron este nivel cuando al comenzar la semana laborable, se produjo un alud de mensajes infectados, llevado por el natural y lógico aumento de tráfico al ser contestada y enviada la correspondencia acumulada sábado y domingo.

Hoy es un hecho que BadTrans.B está extendiéndose rápidamente. Además, las noticias nos informan que al menos en Gran Bretaña, un proveedor de Internet, infectó a cientos de usuarios durante el fin de semana, por ignorar que su sistema estaba infectado.

Empresas como MessageLabs, que provee a sus clientes servicios de escaneo y bloqueo de virus en el correo electrónico, mostraba en sus estadísticas on-line, unas 5,164 copias del virus al comienzo de la mañana, cifra que trepó al doble pocas horas después. En una visita a sus páginas hecha a media tarde de Uruguay, el contador de incidencias del BadTrans.B, marcaba las 10,992, contra las 49,364 del SirCam, 18,140 del Magistr.B y casi 13,000 del Magistr.A. Claro que estas últimas cifras corresponden a todo lo que va del mes de noviembre, mientras que el BadTrans tiene solo dos o tres días de haber sido descubierto.

BadTrans.B es una variante del virus del mismo nombre (BadTrans.A) el cuál fue reportado en abril de este año.

Este gusano normalmente llega a nuestra computadora en un mensaje con el asunto "Re:" sin nada más, o la línea "Re: + el nombre del asunto de un mensaje anterior", en ambos casos, sin ningún texto visible en su cuerpo. Su tamaño (el mensaje más el virus), es de unos 40 Kb, y el nombre del adjunto (que puede no ser visible), está compuesto con la combinación aleatoria de una lista de tres partes, que consiste en una serie de nombres, y un par de extensiones, lo cuál genera nombres con doble extensión, del tipo "docs.DOC.pif", "Sorry_about_yesterday.MP3.pif", o "Me_nude.MP3.scr".

Es capaz de ejecutarse sin necesidad de abrir el archivo adjunto, con tan solo intentar leer el mensaje (que no tiene texto), o por verlo en el panel de vista previa.

El adjunto, figura como un archivo de audio, lo que hace que Windows lo ejecute sin solicitar permiso (a no ser que se tengan instalados los parches correspondientes a esta vulnerabilidad, que por cierto no es nueva, y ya ha sido usada por virus como el Nimda).

BadTrans.B utiliza las extensiones MAPI para gestionar el correo y propagarse. Captura las direcciones a las cuáles se envía, de los mensajes no leídos.

También instala un troyano capaz de robar información privada, como contraseñas, nombre de usuario, e información relacionada con tarjetas de crédito, cuentas bancarias, etc.

La información ampliada sobre este virus, con las instrucciones para removerlo de un sistema infectado, así como los enlaces a los parches que impiden la ejecución automática del virus, está publicada en nuestro boletín #505 (http://www.vsantivirus.com/badtrans-b.htm).


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2001 Video Soft BBS