|
VSantivirus No. 279 - Año 5 - Viernes 13 de abril de 2001
Virus: W32/Badtrans@MM - Puede hacer caer a los servidores de correo
http://www.vsantivirus.com/badtrans-a.htm
Nombre: W32/Badtrans@MM
Tipo: Gusano y caballo de Troya
Tamaño: 13,312 bytes (10,624 Bytes)
Fecha: 12/abr/01
Alias: W32/Badtrans-A, Backdoor-NK.svr, BadTrans, I-Worm.Badtrans, W32.Badtrans.13312@mm, IWorm_Badtrans, TROJ_BADTRANS.A, BADTRANS.A, I-WORM.BADTRANS, W32/BadTrans.A-mm
BadTrans es básicamente un gusano que se propaga a través del correo electrónico, y solo funciona en sistemas Win32 (Windows 95/98/ME/NT/2000).
Es capaz de enviarse a si mismo, utilizando el Microsoft Outlook
y Outlook Express, a todos los mensajes no leídos de la máquina infectada. Esto funciona de manera muy similar a como lo hace el virus
"I-Worm.ZippedFiles" (ExploreZip) (Ver: VSantivirus No. 84 - Año 3 - Viernes 11 de junio de 1999, Un
peligro mortal llamado
"I-Worm.ZippedFiles").
El gusano envía estos mensajes con un archivo infectado adjunto, y es capaz de instalar un troyano, con capacidad de espiar y robar información de la computadora atacada.
Además del robo de información confidencial, tal vez uno de los más grandes peligros de este gusano, es su capacidad de hacer caer a los servidores de correo. Debido a un error en su diseño, es capaz de enviar las respuestas a todos los mensajes recibidos, incluso a los recibidos de otras computadoras infectadas, en un bucle sin fin.
Por ejemplo, el gusano de una computadora "A" descubre un mensaje sin contestar en la Bandeja de entrada, recibido de la computadora infectada "B", y lo reenvía a esta. A su vez, la computadora "B" lo recibe, y por el mismo mecanismo, lo vuelve a enviar a la computadora "A", en un proceso sin fin. Como resultado, los datos enviados aumentarán literalmente en miles en poco tiempo, ocasionando la caída de los servidores de correo involucrados.
El gusano en si mismo, es un ejecutable Win32 (formato PE
EXE). Las versiones detectadas a la fecha, están comprimidas, ocupando unos
13 Kb (hay una versión de 10 Kb). Una vez en memoria, el EXE ocupa
40 Kb aproximadamente.
Consiste en tres componentes básicos, los que son liberados (dropped) en el sistema infectado, en la forma de tres archivos diferentes. Dos de estos archivos pueden funcionar en forma independiente (gusano y caballo de Troya).
La rutina del gusano es el componente principal, la cuál libera al troyano en la computadora infectada.
Cuando un archivo infectado es ejecutado por primera vez (cuando el usuario hace doble clic sobre un adjunto infectado recibido por el correo electrónico), el código del gusano se activa y toma el control.
Lo primero que el virus hace, es instalar sus componentes en el sistema.
Primero se copia a si mismo al directorio C:\WINDOWS con el nombre de
INETD.EXE.
Luego, libera el componente troyano, con el nombre HKK32.EXE.
Cuando el troyano es ejecutado, el mismo se mueve a si mismo al directorio
C:\WINDOWS\SYSTEM con el nombre de KERN32.EXE.
Crea además una librería adicional en ese directorio, llamada
HKSDLL.DLL. Este componente actúa de key logger (intercepta y guarda todo lo tecleado por el usuario).
También genera un archivo llamado CP_23421.NLS.
El gusano modifica algunos archivos del sistema para poder autoejecutarse en cada reinicio de Windows.
Bajo Windows 9x, Me, modifica el archivo WIN.INI:
[windows]
load=
run=C:\WINDOWS\INETD.EXE
Bajo Windows NT y 2000, genera esta clave en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Para ejecutar el troyano, crea además esta clave en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
kernel32=C:\Windows\System\kern32.exe
Esta clave se borra ("RunOnce" se ejecuta una sola vez), pero el virus vuelve a crearla en cada ejecución.
Cuando la instalación se completa, el gusano muestra un mensaje de error falso y finaliza su acción:
Install error
File data corrupt:
probably due to bad data transmission or bad disk access.
[ Aceptar ]
La rutina de propagación, se activa la próxima vez que Windows se reinicie, cuando se ejecute el archivo
INETD.EXE por los cambios realizados antes.
El gusano se registra a si mismo como un proceso oculto (servicio), lo que lo hace invisible al pulsarse
CTRL+ALT+SUPR.
Cuando se ejecuta (en el arranque de Windows), el virus espera 5 minutos antes de activar su rutina de propagación. Cuando ello ocurre, el gusano accede a través de las funciones
MAPI de Windows, a la carpeta "Bandeja de
entrada", en donde abre todos los mensajes que no han sido leídos por el usuario, y los reenvía, adjuntándose una copia del virus en cada mensaje. Esta rutina es la que ocasiona el error que mencionamos al principio, capaz de bloquear a los servidores de correo.
El archivo KERN32.EXE es el responsable de reenviar el gusano a todas los mensajes no leídos o recién recibidos, utilizando comandos
SMTP. Posee sus propias rutinas las que utilizan las funciones
WSOCK32 para responder a estos mensajes.
El nombre del archivo adjunto, es seleccionado al azar de la siguiente lista:
Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif
Note que algunos de estos nombres son similares a los usados por el virus
MTX (ver en "Artículos",
07/oct/00 - Virus: W32/MTX@MM).
Una vez en memoria, también se reenvía a la dirección de cada nuevo mensaje recibido por la víctima.
El campo "Asunto:" en el mensaje enviado por el gusano, es el mismo del mensaje original recibido con el agregado del prefijo
"Re:".
En el cuerpo del mensaje aparece quoteado el mensaje original. Por ejemplo, si el mensaje original es enviado por el usuario
"Juan García", y posee este texto:
Este es un mensaje de prueba
La respuesta del virus tendrá este formato:
'Juan García' wrote:
====
Este es un mensaje de prueba
> Take a look to the attachment.
Si el mensaje a reenviar por el virus está vacío, la respuesta tendrá una sola línea:
> Take a look to the attachment.
En algunos casos, puede agregar este otro texto:
> Take a look to the attachment and send me your opinion.
El gusano utiliza un truco para no reenviar el mismo mensaje dos o más veces, y evitar además contestar sus propios mensajes recibidos de otras máquinas infectadas. Para ello agrega dos espacios (el carácter
ASCII 32) al final de la línea "Asunto:". Luego, no procesará los mensajes que cumplan esa condición.
Sin embargo, esta protección no funciona con los mensajes recibidos de otras computadoras infectadas. Casi todos los servidores de correo suprimen los caracteres vacíos (espacios) al final de la línea
"Asunto:" (según se indica en la referencia RFC-822).
Como resultado de esto, si un mensaje infectado llega a una máquina ya infectada y este es contestado inmediatamente por el gusano, se inicia un tráfico interminable de mensajes infectados (un auténtico bucle sin fin). Esto actúa como un verdadero "mail-bomb", un envío masivo de mensajes hasta saturar los servidores.
Además, y de acuerdo a los programas de correo instalados, el gusano falla al marcar como contestado los mensajes enviados, y responde a todos los mensajes, incluso los propios, iniciando un bucle de envío masivo de mensajes, que puede llegar a cientos en pocos minutos.
El resultado, será la caída de los servidores de correo, porque no serán capaces de procesar todos los mensajes generados.
Existen referencias a otra versión del gusano, con un tamaño diferente
(10,623 bytes), tal vez una versión previa del mismo.
Archivos creados por el virus
C:\WINDOWS\HKK32.EXE - Troyano
C:\WINDOWS\INETD.EXE - Gusano
Cuando se ejecuta el troyano, el mismo se mueve a la carpeta \WINDOWS\SYSTEM y se generan estos archivos:
C:\WINDOWS\SYSTEM\KERN32.EXE -
Troyano (copia)
C:\WINDOWS\SYSTEM\HKSDLL.DLL - Keylogger del troyano
C:\WINDOWS\SYSTEM\CP_23421.NLS - Datos generados por el troyano
Luego de copiarse, el archivo C:\WINDOWS\HKK32.EXE es borrado.
Troyano liberado por el BadTrans
Nombre: Troj/Keylog-C
Alias: Trojan.PSW.Hooker.b
Tipo: Caballo de Troya
Este troyano es liberado por el Badtrans. Se trata de una variante de un conocido robador de claves (Trojan.PSW.Hooker). El mismo envía la dirección IP de la computadora infectada a la siguiente dirección electrónica:
ld8dl1@mailandnews.com
Con esta información, el autor podría conectarse al sistema infectado a través de Internet, y obtener información personal, como nombre de usuario y contraseñas. Este troyano también posee características que le permite capturar otro tipo de información, relacionada con tarjetas de crédito, cuentas bancarias, etc.
Cómo eliminar el virus de un sistema infectado
1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
RunOnce
3. Pinche sobre la carpeta "RUNONCE". En el panel de la derecha podría ver algo como:
"kernel32" "C:\Windows\System\kern32.exe"
4. Pinche sobre el nombre "kernel32" (si existe) y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run
6. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver en la segunda columna algo como:
"C:\Windows\Inetd.Exe"
7. Pinche sobre el nombre que contiene estos datos y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave (si no aparece nada que haga referencia a INETD.EXE, ignore este punto).
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. En Windows 9x, Me, desde Inicio, Ejecutar, escriba "WIN.INI" y pulse Enter
10. Busque este contenido:
[windows]
load=
run=C:\WINDOWS\INETD.EXE
11. Modifique el mismo para que quede así:
[windows]
load=
run=
12. Grabe los cambios al salir del bloc de notas.
13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
14. Pinche en Inicio, Buscar, Archivos o carpetas.
15. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".
16. En la casilla "Nombre" escriba (o "corte y pegue") lo siguiente:
hkk32.exe, inetd.exe, kern32.exe, hksdll.dll, cp_23421.nls
Importante: No confundir KERN32.EXE con el archivo KERNEL32.DLL. Para ver las extensiones reales de los archivos, debemos ir a Inicio, Configuración, Opciones de carpetas en Windows 98, o en cualquier menú Ver de Windows 95, en Opciones (u Opciones de carpetas), y en la opción Ver, DESMARCAR la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
17. Pinche en "Buscar ahora".
18. Si aparece alguno de estos archivos, márquelos.
19. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado (si es necesario, repita esto por cada archivo encontrado).
20. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".
21. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.
Y no abra jamás archivos adjuntos no solicitados.
Fuentes: F-Secure, Kaspersky Labs, MessageLabs, SARC, Sophos, Trend Micro, Network Associates
Relacionados:
VSantivirus No. 505 - 25/nov/01
W32/Badtrans.B. Se ejecuta sin necesidad de abrir adjuntos
http://www.vsantivirus.com/badtrans-b.htm
Ver también:
11/jun/99 - Un
peligro mortal llamado
"I-Worm.ZippedFiles"
07/oct/00 - Virus: W32/MTX@MM
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|