W32.Badtrans.B@mm

Chi è

Un trans cattivello che si concede a tutti senza farsi pagare, e si fa chiamare anche I-Worm.BadtransII o WORM_BADTRANS.B, è anche uno spione perchè riferisce ai suoi amici le nostre password.

Da dove caspio arriva

Da persone conosciute o sconosciute, in mail apparentemente vuote con un allegato a volte invisibile a doppia estensione, oppure in mail che sembrano risposte alle nostre, ma riportano solo il testo originario e non aggiungono niente di nuovo.

Come si prende

Automaticamente aprendo la mail o il suo allegato, se si ha una versione di IE/OE non aggiornata e senza le restrizioni sull'esecuzione degli script, e con l'anteprima attivata.

Cosa fa

In sintesi

Crea quattro file a suo uso e consumo, modifica un'impostazione del registro, si autospedisce agli indirizzi che trova nella nella nostra posta, nella cache di Internet o nella cartella documenti, e spedisce un log di quanto da noi digitato ad uno degli indirizzi compresi nella sua rubrica.

In dettaglio

Sfrutta una falla di sicurezza di IE/OE per autoattivarsi tramite la sola visualizzazione dell'anteprima, oppure si mette in moto quando si tenta di aprire l'allegato della mail che lo incorpora.

La mail può avere come oggetto il solo Re: in caso l'indirizzo sia stato reperito nella cache di Internet o nella cartella documenti, oppure Re: e lo stesso oggetto di una mail da noi spedita se l'indirizzo lo trova nella nostra posta.

In questo secondo caso Badtrans ci può fare da segretario, rispondendo a mail da noi ricevute ed inserendo anche il testo della mail stessa, per cui il destinatario del virus (mittente della mail) sarà convinto di leggere una nostra risposta ed attiverà senza saperlo il virus stesso.

Il mittente della mail può apparire sia in chiaro, con un _ (underscore) davanti, oppure risultare uno dei seguenti:

" Admin" <admin @ gte.net>
" Administrator" <administrator @ border.net>
" Andy" <andy @ hweb-media.com>
" Anna" <aizzo @ home.com>
"JESSICA BENAVIDES" <jessica @ aol.com>
"Joanna" <joanna @ mail.utexas.edu>
"JUDY" <JUJUB271 @ AOL.COM>
"Kelly Andersen" <Gravity49 @ aol.com>
"Linda" <lgonzal @ hotmail.com>
"Mary L. Adams" <mary @ c-com.net>
"Mon S" <spiderroll @hotmail.com>
"Monika Prado" <monika @ telia.com>
"Rita Tulliani" <powerpuff @ videotron.ca>
"Support" <support @ cyberramp.net>
"Tina" <tina0828 @ yahoo.com>

Il file allegato può avere una grande varietà di nomi:

CARD
DOCS
FUN
HAMSTER
HUMOR
IMAGES
INFO
ME_NUDE
NEW_NAPSTER_SITE
NEWS_DOC
PICS
README
S3MSONG
SEARCHURL
SETUP
SORRY_ABOUT_YESTERDAY
STUFF
YOU_ARE_FAT!

L'estensione del file allegato sarà sempre doppia, anche se in alcuni casi a causa delle proprie impostazioni di visualizzazione potrebbe non essere vista, e la prima estensione sarà

.doc
.mp3
.zip
mentre la seconda, quella effettivamente attiva anche se invisibile, sarà
.pif
.scr

Potrebbe quindi arrivare un file qualsiasi con un collage del tipo

images.zip.scr
info.doc.pif
readme.doc.pif

Aprendo la mail in sola visualizzazione non vedremo niente, e neppure facendo doppio clic sul file allegato, ma nel frattempo il virus avrà copiato sé stesso e creato quanto gli serve sotto forma di

C:\WINDOWS\SYSTEM\kernel32.exe
C:\WINDOWS\SYSTEM\kdll.dll
C:\WINDOWS\SYSTEM\Cp_25389.nls

e avrà creato la seguente chiave di registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Kernel32 kernel32.exe

Al successivo collegamento ad Internet inizierà ad autospedirsi agli indirizzi da lui trovati tenendone traccia per non rischiare invii ripetuti alla stesso indirizzo, nel file

C:\WINDOWS\SYSTEM\protocol.dll

e creerà il file criptato Cp_25389.nls contenente quanto da noi digitato in alcune maschere di Windows il cui titolo contenga le seguenti sigle

CON (CONnection)
LOG (LOGon)
NET (NETwork)
PAS (PASsword)
REM (REMote)
TER (TERminal)

Per questo motivo da alcuni antivirus può anche essere individuato come Troj.PWS in quanto sfrutta le proprietà di un trojan per raccogliere le informazioni ed inviarle ad uno dei seguenti indirizzi

bgnd2 @ canada.com
cxkawog @ krovatka.net
DTCELACB @ yahoo.com
eccles @ ballsy.net
fjshd @ rambler.ru
I1MCH2TH @ yahoo.com
JGQZCD @ excite.com
muwripa @ fairesuivre.com
OZUNYLRL @ excite.com
rmxqpey @ latemodels.com
S_Mentis @ mail-x-change.com
smr @ eurosport.com
ssdn @ myrealbox.com
suck_my_prick@ ijustgotfired.com
suck_my_prick4 @ ukr.net
thisisno_fucking_good @ usa.com
tsnlqd @ excite.com
udtzqccc @ yahoo.com
WPADJQ12 @ hahoo.com
XHZJ3 @ excite.com
YJPFJTGZ @ excite.com
ZVDOHYIK @ yahoo.com

A causa del keylogger, se si utilizza un set di caratteri di tipo francese o spagnolo in cui per scrivere una vocale accentata occorre la combinazione di due tasti (la vocale e l'accento), ci si può rendere conto di essere infetti perchè queste vengono scritte cos``i, mentre negli altri casi lo sapremo dalle mail che ci tornano indietro non consegnate, e da quelli che ci scrivono dicendoci di togliere quel fottuto virus.

Come si elimina

Un tool di rimozione automatico in questo caso fa miracoli, essendo relativamente pochi i passaggi da fare e le variabili di cui tenere conto, ma anche a mano ce la si può fare, visto che l'antivirus nella maggior parte dei casi non riesce ad intervenire sui file che Windows considera "in uso".

  1. Disattivare l'antivirus togliendolo anche dall'esecuzione automatica
  2. Disattivare la visualizzazione dall'anteprima di Outlook oppure Outlook Express, ed eliminare la mail colpevole (niente paura, non contiene altro che il virus...)
  3. Disattivare la cartella Restore se si possiede WinME e riavviare Windows con il Restore disattivato
  4. Riavviare il pc in modalità provvisoria oppure in dos
  5. Cercare ed eliminare i file e la chiave di registro creati dal virus
  6. Riattivare l'antivirus e riavviare, poi procedere ad una scansione completa del sistema su tutti i file ed eventualmente ripetere tutti i passaggi per maggiore sicurezza o se risultassero dei residui ancora da eliminare
  7. Cambiare tutte le proprie password
  8. Aggiornare IE/OE con una versione più recente, lasciare disattivata l'anteprima delle mail e USARE SEMPRE UN ANTIVIRUS!!!, quale non importa, basta che sia decente e sempre aggiornato.
 Badtrans remover for W9x /WMe by Marcolfa (6 KB)
Badtrans remover for WNT / W2000 / WXP (9 KB)