NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior


nuevo virus gusano, y backdoor troyano que autoresponde los e-mails

Nombre de virus: W32/BADTRANS @ MM

Alias conocidos: BackDoor-NK.svr

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)

Activación: Envía e-mail respondiendo mensajes pendientes de lectura

Infección: Por ejecución fichero anexado al email recibido (ver lista nombres)

Detección: DATS 4134

Motor necesario: engine 4.0.70

Infección actual: Inicial (Inicial, Media, Elevada)

Nuevo virus que se propaga usando Microsoft Outlook, por autoenvío de e-mail con fichero anexado, respondiendo mensajes no leidos y abriendo puerta trasera, notificando para ello los datos de IP de la víctima al creador del virus.

Cuando se ejecuta el fichero anexado al e-mail, se visualiza una ventana con el título "Install error", y el texto "File data corrupt:Probably due to a bad data transmission or bad disk access". Una copia del fichero se salva en directorio de Windows como INETD.EXE y cargado en un Run en el WIN.INI si se trata de W9x o en el registro de sistema si es Windows NT o 2000, para ser ejecutado en cada reinicio de Windows. Así mismo genera en el directorio de sistema de Windows un KERN32.EXE (que es el backdoor troyano) y el HKSDLL.DLL, que es una librería para el troyano, siendo éste cargado en el registro de sistema,en RunOnce, a saber: HKLM\Software\Microsoft\

\Windows\CurrentVersion\RunOnce Kernel32=Kern32.exe

Una vez ejecutado, el backdoor envía los datos de la dirección IP de la víctima al autor del virus, pudiendo éste acceder al ordenador infectado y robar passwords, números de cuentas bancarias, números de tarjetas de crédito, y cuanta información confidencial desee.

Tras cinco minutos de iniciar el proceso, el virus contesta los e-mails no leídos enviándoles un e-mail anexando el fichero gusano. Tras ello queda residente, contestando los e-mails que van llegando, hasta que se cierra Windows.

Los nombres que aleatoriamente emplea para los ficheros anexados, son:

 

Card.pif docs.scr fun.pif hamster.ZIP.scr Humor.TXT.pif images.pif

New_Napster_Site.DOC.scr news_doc.scr Me_nude.AVI.pif pics.ZIP.scr

README.TXT.pif s3msong.MP3.pif searchURL.scr SETUP.pif Sorry_about_yesterday.DOC.pif YOU_are_FAT!.TXT.pif

Con nuestra utilidad ELIBADTR.EXE se limpia registro, Win.INI y gusanos.

SATINFO, VIRUSCAN SPAIN SERVICE 26-4-01

Anterior