• Herramienta de BitDefender para la desinfección y reparación del Badtrans.B
• Vacuna que nos protege del BadTrans.B

En abril de 2001, fue detectada la primera versión de este gusano. El mismo poseía algunos errores de programación que disminuyeron su peligrosidad.

Esta nueva versión posee algunas pequeñas diferencias, pero la más importante es que ahora es capaz de ejecutar el archivo adjunto recibido en un mensaje infectado, sin necesidad de que el usuario abra dicho adjunto. Para ello utiliza una conocida vulnerabilidad en las extensiones MIME en programas de correo que se basan en el Internet Explorer (Microsoft Outlook y Microsoft Outlook Express).

El parche para esta vulnerabilidad está disponible en el sitio de Microsoft. Siga las instrucciones del siguiente artículo para su instalación:

VSantivirus No. 271 - 5/abr/01
Crónica de una vulnerabilidad anunciada
http://www.vsantivirus.com/vulms01-020-03.htm

Badtrans.B es un gusano de Internet, que permanece residente en memoria cuando se ejecuta, y que puede propagarse vía e-mail a través del Outlook y del Outlook Express, utilizando la interface de programación MAPI.

Lo podemos recibir en un mensaje sin texto visible y con un adjunto que puede tener diferentes nombres, creado con las siguientes combinaciones:

La primera parte se selecciona de esta lista:

FUN
HUMOR
DOCS
INFO
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
STUFF
SEARCHURL
YOU_ARE_FAT!
HAMSTER
NEWS_DOC
New_Napster_Site
README
IMAGES
PICS

La segunda, contiene una de las siguientes extensiones:

.DOC.
.MP3.
.ZIP.

Y la última parte (la verdadera extensión del archivo), puede ser una de las siguientes:

pif
scr

Un par de ejemplos de estas combinaciones:

New_Napster_Site.MP3.scr
README.DOC.pif

Como vimos, esta variante utiliza una vulnerabilidad conocida (Automatic Execution of Embedded MIME type) para ejecutarse sin necesidad de abrir el adjunto, por solo leer el mensaje o verlo en el panel de vista previa.

Cuando esto ocurre, el gusano se copia a si mismo en el directorio System de Windows, como Kernel32.exe, y también crea allí los archivos cp_25389.nls, y kdll.dll:

C:\Windows\System\KERNEL32.EXE
C:\Windows\System\cp_25389.nls
C:\Windows\System\kdll.dll

Note que en esa misma carpeta existe el archivo Kernel32.dll, que es un archivo legítimo de Windows.

Además, el gusano borra su copia original del directorio en que fue ejecutado.

Luego se registra a si mismo como un servicio, para permanecer en memoria sin aparecer en la lista de tareas que se están ejecutando (por lo tanto permanece oculto al pulsar CTRL+ALT+SUPR).

El archivo CP_25389.NLS son datos encriptados del virus.

El archivo KDLL.DLL es un troyano con capacidad de robar las contraseñas de la máquina infectada (Trojan.PSW.Hooker, Backdoor-NK.svr, Troj.PWS.A).

El registro de Windows es modificado para que el gusano se ejecute automáticamente en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
kernel32 = "kernel32.exe"

Como la clave "RunOnce" se ejecuta una sola vez (y Windows la borra luego de ejecutar su contenido), el gusano la vuelve a crear cada vez.

Troyano liberado por el BadTrans.B

Nombre: Troj/PWS-AV
Tipo: Caballo de Troya

Este troyano es liberado por el Badtrans.B. Una vez activo, se encarga de registrar todo lo tecleado por el usuario infectado, lo que le permite capturar y obtener información personal, como nombre de usuario y contraseñas, información relacionada con tarjetas de crédito, cuentas bancarias, etc.

Para eliminar el gusano automáticamente

Herramienta de BitDefender para la desinfección y reparación del Badtrans.B

Vea también: Vacuna que nos protege del BadTrans.B

Para eliminar el gusano manualmente

1. Ejecute un antivirus actualizado

2. Pinche en Inicio, Buscar, Archivos o carpetas

3. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas"

4. En la casilla "Nombre" escriba (o "corte y pegue") lo siguiente:

CP_25389.NLS

5. Pinche en "Buscar ahora"

6. Si aparece este archivo, márquelo

7. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado

8. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

9. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

10. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunOnce

11. Pinche sobre la carpeta "RunOnce". En el panel de la derecha, si aparece, pinche sobre el nombre "kernel32" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

14. Ejecute un antivirus al día, y borre todos los archivos que éste identifique como infectados con Badtrans.B o sus variantes.

Los archivos que debe borrar en esta etapa son los siguientes, y puede usar lo indicado en los puntos 2 al 8 inclusive para hacerlo (con el respectivo nombre de archivo en cada caso):

kdll.dll
KERNEL32.EXE

Notas:

Para limpiar de virus el sistema si usted tiene instalado Windows Me, deberá deshabilitar la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

El virus utiliza el truco de la doble extensión para simular la verdadera. Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

• En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
• En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
• En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Herramienta de BitDefender para la desinfección y reparación del Badtrans.B

Utilidad gratuita de BitDefender que borra el virus BadTrans de su sistema, y corrige los cambios producidos en su computadora, incluido registro.

http://www.bitdefender.com/descarga/evaluacion/AntiBadB.exe (240 Kb)

Esta herramienta está diseñada para ejecutar individualmente en cada uno de los equipos afectados.



Utilidad que nos protege del BadTrans.B (BadTrans II)

BADTFIX.BAT hace solo dos cosas. Uno, busca los archivos del gusano BadTrans.B si están instalados en nuestra computadora, y los borra.

Y dos, "vacuna" nuestra máquina para que el gusano no se instale en la misma. Al fallar su intento de copiarse en nuestro PC, BadTrans.B no puede propagarse.

Aunque fue probado en Windows 95, 98 y Me, podría no funcionar en todas las situaciones.

Note que aunque puede ser un "respiro" para evitar la infección del BadTrans, no bloquea la acción de otros virus que usen la misma vulnerabilidad, por lo que se recomienda actualizar la versión de Internet Explorer, y tener su antivirus al día.

Para ejecutarlo, copie el contenido del archivo comprimido a cualquier carpeta, y haga doble clic sobre el archivo BADTFIX.

Solo aparecerá una ventana MS-DOS con este texto:

Sistema vacunado contra el BadTrans.B por BADTFIX.BAT
--------------------------------------------------------------------------

Recuerde que esta es una solución alternativa. Borra los archivos del virus BadTrans.B (BadTransII) si existen en la carpeta C:\Windows\system generando además un archivo que bloquea el ingreso del BadTrans.

Actualice su antivirus, baje alguna herramienta de limpieza de nuestro sitio http://www.vsantivirus.com y ejecútela (corra esta herramienta de nuevo para vacunar su sistema). Actualice su sistema con los parches correspondientes. Vea: http://www.vsantivirus.com/badtrans-b.htm

Advertencia: Esta herramienta genera un inofensivo archivo KERNEL32.EXE en C:\Windows\System, de cero bytes, y con los atributos de solo lectura, etc. Eso hace que el verdadero virus no se copie, pero la ejecución de algunas herramientas antivirus pueden confundirlo con el verdadero gusano. En ese caso, luego de pasar el antivirus, ejecute nuevamente BADTFIX.BAT.

Para ver el archivo oculto generado, puede teclear en una ventana DOS lo siguiente (más Enter):

dir   %windir%\system\kernel32.exe   /a

Este debería ser el resultado:

KERNEL32 EXE             0  30/11/01  20:02 kernel32.exe
         1 archivos             0 bytes

Descarga de BADTFIX.ZIP: http://www.videosoft.net.uy/badtfix.zip  (2 Kb)



Más información:

VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es?
http://www.vsantivirus.com/sbam-extensiones.htm

Relacionados:

VSantivirus No. 279 - 13/abr/01
W32/Badtrans@MM - Puede hacer caer a los servidores de correo
http://www.vsantivirus.com/badtrans-a.htm

Glosario:

MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.

MIME (Multipurpose Internet Mail Extensions) - Es un protocolo que no especifica los mecanismos de transmisión o recepción de la información, sino la codificación y formato de los contenidos de los mensajes. Permite el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el contenido incluido en el cuerpo del mensaje.


Modificaciones:
11/jul/02 - Herramienta de BitDefender para remover Badtrans.B




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com