www.viasegre.com

 < < HOME

 < VIRUS WARNING

 EMAIL E FALSI
 DSN, cellulari gratis
 e donatori di midollo

 ROMA CAMPIONE
 d'Italia 2000/2001
 Le foto e altro...

 FANTACALCIO SBT
 S.Benedetto del
 Tronto 2002/03
 Il Forum all'interno!


Margin Walker


ROCCO Mailing List
ISCRIVITI alla
Mailing List
di Via Segre


I-WORM.BADTRANS.B

Come riconoscerlo:
l'inconfondibile "_"
precede l'indirizzo
del mittente


Come infetta il tuo pc:
kernel32.exe
e kdll.dll
il virus e la spia


Come funziona:
risponde alle vostre
email e ne scrive
di nuove


Come eliminarlo:
cancellare kernel32
ma quello giusto



Tutte le informazioni sono state raccole da esperienze personali e dall'AVP Virus Encyclopedia.


W32.Badtrans.B@mm è una variante del worm Badtrans diffusasi rapidamente e in modo molto esteso dal 24 novembre 2001. Come tanti suoi predecessori si propaga attraverso la posta elettronica, ma a renderlo più pericoloso di altri è una vulnerabilità dei prodotti Microsoft che gli consente di avviarsi anche con la sola anteprima del messaggio di posta, cioè non aprendo nessun allegato. La facilità nel 'contrarre' il virus è comunque bilanciata da un facile procedimento per eliminarlo.

COME RICONOSCERLO

Considerato quindi questo aspetto risulta importante riconoscere il messaggio prima di aprirlo, almeno fino a quando non si è installato un antivirus efficace.
Come già detto il worm si avvia con outlook anche solo aprendo l'anteprima del messaggio, per cui se avete dei sospetti su qualche messaggio in particolare potete riconoscere il virus nel modo seguente:
  • chiudete la finestra dell'anteprima cliccando su "Visualizza" (nella barra dei comandi) e poi su "Layout";
  • quindi deselezionate in basso l'opzione "Visualizza il riquadro di anteprima" e cliccate su Applica (personalmente non utilizzo più la finestra di anteprima, per cui in caso voleste ripristinarla il procedimento è opposto);
  • ora potete selezionare qualsiasi messaggio email senza che questo venga aperto, e visualizzarne le proprietà (cliccando con il tasto destro sul messaggio selezionato e quindi su "Proprietà");
  • se il mittente che dovrebbe essere nome@provider.it è invece _nome@provider.it (preceduto cioè da _) allora si tratta certamente del virus, cancellate il messaggio ed eliminatelo anche dalla cartella "Posta eliminata".
Inoltre, per quello che ho potuto sperimentare, il virus invia email rispondendo a tutte i messaggi che sono nella cartella "Posta in arrivo" (l'oggetto con il quale vi arriva infatti è un messaggio del tipo "Re:" seguito dal nome oggetto di una email scritta da voi e indirizzata al mittente del virus). Cercate quindi di tenere il più pulita possibile la cartella "Posta in arrivo".

COME INFETTA IL TUO PC

Oltre che sfruttando la vulnerabilità IFRAME, il file infetto può essere eseguito aprendo esplicitamente l'allegato infetto o gli eseguibili creati dal worm.
Questo virus non è solo il classico worm, ma è anche un trojan (Trojan.PSW.Hooker) capace quindi di inviare a un indirizzo email specifico informazioni presenti sul pc infetto. La prima variante del worm al momento dell'esecuzione crea nel registro di windows le chiavi necessarie per avviarsi assieme al sistema, e un ulteriore libreria DLL, che gli permette di intercettare i tasti premuti dall'utente, al fine di raccogliere informazioni sulle azioni compiute.

Il worm Badtrans.B, che è il più diffuso, si installa nella cartella SYSTEM di Windows con il nome kernel32.exe, e crea il file kdll.dll che ha il compito di intercettare i tasti premuti e inviare le informazioni all'indirizzo uckyjw@hotmail.com.
Il primo file viene eseguito grazie alla chiave di registro, creata sempre da worm:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunOnce\Kernel32=kernel32.exe


Il secondo file invia le informazioni raccolte nel file CP_25389.NLS, creato nella cartella SYSTEM di Windows.

Maggiori dettagli e la patch per la vulnerabilità IFRAME si trovano all'url:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

COME FUNZIONA

Il worm invia messaggi infetti ad indirizzi email estratti da file HTM, HTML, ASP, oppure risponde a tutti i messaggi presenti in "Posta in arrivo", utilizzando funzioni MAPI, ed allegando alla risposta il file infetto. In questo modo spesso il messaggio compare come una risposta ad un messaggio realmente scritto da voi, con il mittente che è proprio il vostro interlocutare (per cui attenzione a "_"!).
I messaggi vengono inviati dal virus attraverso una connessione diretta a un server SMTP.
Il nome del mittente non è sempre quello reale, ma a volte è generato casualmente.
Il file allegato, che ha un peso di 40,3 KB, ha un nome selezionato casualmente da un elenco, e sempre una doppia estensione, di tipo DOC, ZIP, MP3 la prima, e SCR o PIF la seconda.

Durante l'invio il worm crea un altro file, con il nome protocol.dll (sempre nella cartella SYSTEM di Windows), nel quale memorizza tutti gli indirizzi hai quali si è auto-inviato. In questo modo non invia due volte allo stesso indirizzo il messaggio infetto.

COME ELIMINARLO

Per eliminare il worm basta cancellare i file kernel32.exe e kdll.dll. ATTENZIONE a non confondere il primo con kernel32.dll che è un file di sistema e NON DEVE ESSERE CANCELLATO, kernel32.exe è il virus e va cancellato!

Se i file sono presenti nella cartella SYSTEM di Windows eliminateli riavviando il pc in modalita ms-dos.

E' possibile inoltre eliminare la chiave nel registro di sistema sopra indicata.

Se il virus non si avvia automaticamente potrebbe salvare una sua copia nella directory TEMP di Windows, directory che è buona abitudine svuotare regolarmente, perché contiene solo file temporanei che possono essere cancellati!

E' consigliabile inoltre impostare un sistema di filtraggio delle email per bloccare i messaggi i cui allegati hanno estensioni SCR e PIF, che solitamente non sono file che vengono spediti per posta e sono invece spesso utilizzati da virus.


www.davidscerrati.too.it