Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Badtrans.B realiza las siguientes acciones:
- Registra las pulsaciones de teclado introducidas por el usuario. Para ello, suelta un troyano en el ordenador.
- De esta manera, puede obtener datos confidenciales del usuario afectado, como cualquier tipo de contraseña, nombres de ususario, etc.
- Responde a todos los mensajes no leídos que existen en el ordenador afectado, enviando mensajes en los que el gusano se incluye como archivo adjunto.
Metodo de Infección
Badtrans.B crea los siguientes archivos en el directorio de sistema de Windows:
- KERNEL32.EXE, que es una copia del gusano.
- KDLL.DLL. Este archivo pertenece al troyano PSW.Hooker.24.h, destinado a registrar las pulsaciones de teclado introducidas por el usuario.
- CP_25389.NLS, que es un archivo encriptado donde almacena las pulsaciones de teclado.
Badtrans.B crea la siguiente entrada en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce
Kernel32 = kernel32.exe
Mediante esta entrada, Badtrans.B consigue ejecutarse cada vez que se inicia Windows.
Método de Propagación
Badtrans.B se propaga mediante el correo electrónico. Para ello, realiza el siguiente proceso:
- Llega al ordenador en un mensaje de correo electrónico que simula ser una respuesta a un mensaje enviado por el usuario, y tiene las siguientes características:
Remitente: uno de los siguientes:
"Anna" <aizzo@home.com>
"JUDY" <JUJUB271@AOL.COM>
"Rita Tulliani" <powerpuff@videotron.ca>
"Tina" <tina0828@yahoo.com>
"Kelly Andersen" <Gravity49@aol.com>
"Andy" <andy@hweb-media.com>
"Linda" <lgonzal@hotmail.com>
"Mon S" <spiderroll@hotmail.com>
"Joanna" <joanna@mail.utexas.edu>
"JESSICA BENAVIDES" <jessica@aol.com>
"Administrator" <administrator@border.net>
"Admin" <admin@gte.net>
"Support" <support@cyberramp.net>
"Monika Prado" <monika@telia.com>
"Mary L. Adams" mary@c-com.net
Badtrans.B es capaz de modificar la dirección del remitente añadiendo un guión bajo al principio de la misma. Esto provoca un error de dirección incorrecta al responder a dicho mensaje.
Asunto:
Re: m
Archivo adjunto: tiene un nombre variable, y doble extensión:
Posibles nombres: FUN, HUMOR, DOCS, INFO, SORRY_ABOUT_YESTERDAY, ME_NUDE, CARD, SETUP, STUFF, YOU_ARE_FAT!, HAMSTER, NEWS_DOC, NEW_NAPSTER_SITE, README, IMAGES, PICS.
Posibles primeras extensiones: MP3, ZIP, DOC.
Posibles segundas extensiones: PIF, SCR.
Por ejemplo: HUMOR.DOC.PIF, CARD.ZIP.SCR, etc. - Badtrans.B se activa automáticamente tan sólo con visualizar el mensaje a través de la Vista previa de Outlook. Para conseguirlo, aprovecha la vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5) que permite la ejecución automática de los ficheros de los mensajes de correo. Esta vulnerabilidad se llama Exploit Iframe.
- Badtrans.B envía una copia de sí mismo a todas las direcciones que:
- Existen en la Bandeja de entrada del ordenador afectado.
- Recoge en ficheros con extensiones ASP o que comiencen por HT.
Otros Detalles
Badtrans.B está escrito en el lenguaje de programación Visual C++ v6. Este gusano tiene un tamaño de 29088 Bytes.
Además, contiene el siguiente texto dentro de su código, aunque no es mostrado en ningún momento:
Fuck you!, Go fly a kite!