NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

AVISO: Desde el lunes de esta semana, 26 de Noviembre, se está recibiendo masivamente en España. Recomendamos aplicar los parches de Microsoft para evitar el agujero MIME de Outlook Express 5.01 / 5.5 (Ver NIMDA), o instalar la VERSIÓN COMPLETA de Internet Explorer 6 / Outlook Express 6(ie6setup.exe)

Nueva variante del virus gusano BADTRANS, esta vez con técnicas MIME

Nombre de virus: W32/BADTRANS @ MM
Alias conocidos: W32.Badtrans.13312@ mm, BackDoor-NK.svr
Riesgo Infección: Muy Alto (Bajo, Alto, Muy Alto)
Activación: Envía e-mail respondiendo mensajes pendientes de lectura
Infección: Por ejecución fichero anexado al email (apertura de mail con Outlook Express)
Detección: DAT 4173 controla totalmente BADTRANS A y B, y PWS-AV en KDLL.DLL
Motor necesario: engine 4.0.70
Infección actual: Media (Inicial, Media, Elevada)

En Abril 2001 enviamos información del virus BADTRANS, que contestaba mails enviando uno con fichero anexado, que necesitaba ser ejecutado para infectar..

Ahora ha aparecido una variante que aprovecha el agujero de seguridad del Outlook Express 5 (MIME) para autoejecutarse simplemente por leer el e-mail.

 

Además de crear una clave de registro para ejecutar en cada reinicio el fichero KERNEL32.EXE, creado por el virus dentro del directorio de sistema y así pone  el virus en memoria constantemente, si bien la tarea es instalada como servicio,  para no que no se pueda ver con un CTRL ALT SUP, crea el troyano KDLL.DLL en el mismo directorio, y este se cuida de robar passwords, contraseñas,  claves, números de tarjetas de crédito, etc, y las envia a una dirección de hotmail.

 

El virus se recibe en un e-mail con Asunto y fichero anexado variable, pero lo que es fijo es que el fichero anexado tiene doble extensión, y que la primera, que es la básicamente visible desde Windows, es una de las tres siguientes: DOC, MP3, o ZIP, y la segunda, que es la que realmente hace servir Windows, es PIF o SCR, ambas de automática ejecución para ficheros del tipo EXE (PE Win32).

 

Es muy importante instalar los parches de Microsoft para Outlook Express 5.01 y 5.5 y así evitar que por leer un e-mail se ejecute automáticamente el fichero anexado. Estos parches evitan entrar virus como el NIMDA, KIRAY, REDESI, KLEZ, ALIZ, y el nuevo indicado BADTRANS_B.  Los parches de Microsoft son los siguientes:

 

Para Internet Explorer 5.01:

http://www.microsoft.com/windows/ie/download/critical/q295106/default.asp
Para Internet Explorer 5.5:

http://www.microsoft.com/windows/ie/download/critical/q299618/default.asp

Alternativamente, instalar versión completa del IE6 / Outlook Express 6, pulsando ie6setup.exe

 

En la sección de utilidades de nuestra web, www.satinfo.es, está disponible la nueva utilidad ELIBAD13.EXE que limpia registro, Win.INI y gusanos tanto del virus inicial BADTRANS como de la nueva variante BADTRANS_B y troyanos. Asimismo, esta utilidad también vacuna, para impedir la futura entrada del virus.

SATINFO, VIRUSCAN SPAIN SERVICE 29-11-01

Anterior