Download VIRUS: Nueva variante del gusano BadTrans

page
1
page
2
page
3
Document related concepts
no text concepts found
Transcript 
VIRUS: Nueva variante del gusano BadTrans
Asociación de Internautas
VIRUS: Nueva variante del gusano BadTrans
En las últimas horas se ha detectado una creciente actividad de "BadTrans.B", un gusano/troyano
que se ditribuye por correo electrónico y que es capaz de ejecutarse de forma automática en Outlook
y Outlook Express con tan sólo visualizar un mensaje infectado.
Más vale prevenir...
"BadTrans.B" explota una vulnerabilidad conocida de Internet Explorer a través de la cual es
posible forzar la ejecución automática de un binario adjunto en un mensaje de correo (.EML). Para
lograrlo modifica la cabecera MIME que hace referencia al archivo de forma que simula ser un
formato confiable. Esto provoca que Internet Explorer lo abra sin preguntar al usuario. Esta
vulnerabilidad es heredada por los clientes de correo Outlook y Oulook Express, ya que utilizan el
componente de Internet Explorer para visualizar los mensajes HTML.
El problema de la ejecución automática afecta a los usuarios de Internet Explorer, versiones 5.01 y
5.5, que no tengan actualizado su navegador. La solución pasa por migrar a Internet Explorer 6 o
actualizar sus versiones con los últimos parches acumulativos, como mínimo el Service Pack 2 o
actualizaciones posteriores.
Descarga Internet Explorer 6
http://www.microsoft.com/windows/ie/default.asp
Internet Explorer 5.01 - Service Pack (19 junio, 2001)
http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp
Internet Explorer 5.5 - Service Pack 2 (2 agosto, 2001)
http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp
Con estas actualizaciones evitaremos que "BadTrans.B" se pueda ejecutar de forma automática,
pero aun podremos ser infectados si recibimos un mensaje infectado y abrimos el archivo adjunto de
forma manual. Una vez más recordamos la regla de oro: "No abrir archivos adjuntos que no
hayamos solicitado".
Así nos llega...
"BadTrans.B" suele llegar en un correo electrónico sin texto en el cuerpo del mensaje y adjunto en
un archivo con las siguientes características:
El nombre del archivo puede ser (incluida variantes mayúsculas/minúsculas):
Pics
Card
images
Me_nude
1/3
VIRUS: Nueva variante del gusano BadTrans
README
Sorry_about_yesterday
New_Napster_Site
info
news_doc
docs
HAMSTER
Humor
YOU_are_FAT!
fun
stuff
SEARCHURL
SETUP
S3MSONG
Primera extensión:
.DOC
.ZIP
.MP3
Segunda extensión (real):
.scr
.pif
Por ejemplo: "Pics.DOC.scr" o "Card.MP3.pif"
Infectando...
Cuando logra ejecutarse en un sistema, "BadTrans.B" copia tres archivos en el directorio sistema de
Windows, por defecto como:
c:windowssystemKERNEL32.EXE (el gusano)
c:windowssystemkdll.dll (troyano que captura el teclado)v c:windowssystemcp_25389.nls (registro
de captura del troyano)
También añade una entrada en el registro de Windows para asegurarse que se ejecuta con cada
inicio de sesión:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce Kernel32 =
kernel32.exe
Para evitar enviarse dos veces a un mismo destinatario, "BadTrans" lleva un registro con todas las
direcciones a las que se envía, en el archivo PROTOCOL.DLL, que también sitúa en el directorio de
sistema de Windows.
Tal y como hemos visto, el gusano también posee un módulo que actúa de troyano (kdll.dll)
interceptando y almacenando todas las pulsaciones de teclado que haga la víctima. Las capturas se
guardan en un archivo (cp_25389.nls) y son enviadas a la dirección de correo
"[email protected]". Allí el creador del gusano podrá recoger información sensible, tales como
contraseñas, tarjetas de crédito, etc, que el troyano haya capturado de los sistemas infectados.
2/3
VIRUS: Nueva variante del gusano BadTrans
Para desinfectarlo de forma manual basta con eliminar los tres archivos mencionados junto con la
clave del registro.
Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=1127
Más información:
I-Worm.BadtransII
http://www.avp.ch/avpve/worms/email/badtrans2.stm
W32/Badtrans@MM
http://vil.nai.com/vil/virusSummary.asp?virus_k=99069
W32/Badtrans-B
http://www.sophos.com/virusinfo/analyses/w32badtransb.html
WORM_BADTRANS.B
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_BADTRANS.B
Reproducido de Hispasec
2017 ©Asociación de Internautas
3/3
Related documents
que son los virus
que son los virus
Descargar archivo - pedro beltran canessa
Descargar archivo - pedro beltran canessa
CONTENIDO INFORMACION DE LOS 5 ÒLTIMOS VIRUS
CONTENIDO INFORMACION DE LOS 5 ÒLTIMOS VIRUS
¿Qué es un virus? ¿Pueden entrar por el ratón? ¿Qué efectos tienen
¿Qué es un virus? ¿Pueden entrar por el ratón? ¿Qué efectos tienen
Cronologia de Virus Informaticos
Cronologia de Virus Informaticos
lo-ii-003 internet malware
lo-ii-003 internet malware
RECOVERY LABS
RECOVERY LABS
Boletín Semanal #1
Boletín Semanal #1
Virus informáticos al descubierto
Virus informáticos al descubierto
Amplía 1. Establecer un plan de seguridad
Amplía 1. Establecer un plan de seguridad
Virus SDBOT.GEN
Virus SDBOT.GEN