Figyelmeztetés a Badtrans 32 vírusra

2001. Dec. 1., Szo, 06:22:05 CET

Tisztelt Listatagok!

Szeretnék figyelmeztetni mindenkit, hogy egy vírus garázdálkodik a környéken. Ez most kivételesen nem a szokásos "add tovább a hírét" vírus, hanem sajnos valódi.
A neve Win32.Badtrans.29020 és Internet Explorer vagy Outlook Express programokkal letöltött levelekkel képes terjedni.
Ha megnyitja az ember a csatolt fájlt, ami kellemes angol szavak véletlenszerû kombinációjából áll össze és .pif vagy .scr kiterjesztésû, akkor a vírus betelepszik a gépre és válaszol a bejövõ levelekre. Mégpedig úgy, hogy imitálja a feladó címét, és kiegészíti azt egy aláhúzásjellel a cím elején. pl. viszo at freemail.hu helyett _viszo at freemail.hu (a példa rossz, mert tõlem nem fog elterjedni -- nem OE-t használok :-)). A levél ismertetõjele az is, hogy valamelyik ismerõsödtõl jön, de nincs benne semmilyen szöveg.

Amellett, hogy terjed, kilesi a beírt jelszavainkat és elküldi valami címekre, ami nem túl kellemes dolog ;-).
(Bár a lexikon szerint a címek többsége már nem él.)

Sajnos úgy tûnik, hogy a listára küldött levelekre is válaszol a piszok.
Ezért javaslom mindenkinek, hogy ha ilyen levelet kap, akkor ne nyissa meg, s fõként ne kattintson a csatolt fájlra. Vagy ha már megnyitotta, akkor kerítsen egy friss vírusölõt és addig ne levelezzen.
Az alábbi leírás segítségével a hozzáértõk akár manuálisan is leirthatják a vírus. Ha kell, szívesen segítek. Nem vagyok ugyan szakember, de ezt a vírust már kiismertem.

Üdv

Viszocsánszki Mihály -- viszo at mail.externet.hu

A lexikon ezt írja:
------------
Win32.Badtrans.29020
Alias:  W32.Badtrans.B at mm, W32/Badtrans at MM, Win32/PWS.Badtrans.B.Worm
Category:  Win32
Type:  Worm

CHARACTERISTICS
Win32.Badtrans.29020 is a worm spreading via e-mail. The worm replies to all read and unread messages and attaches itself using a name constructed from three parts. The first part is one of the following strings:

fun
Humor
docs
info
Sorry_about_yesterday
Me_nude
Card
SETUP
stuff
YOU_are_FAT!
HAMSTER
news_doc
New_Napster_Site
README
images
Pics

The second part is chosen from the following list:

MP3
ZIP
DOC

The virus adds another extension to the attachment and selects it from two
possible types:

pif
scr

When the worm sends itself out from an infected machine and uses the original user's e-mail address, it constructs the "From:" line by adding an extra "_" character at the beginning of the address. This means that an attempt to reply to an e-mail containing the worm and coming from an infected system will most likely fail. Hence, as a side effect, an attempt to inform and warn an already infected user will either fail or will reach the wrong person.

When a user opens the attachment, the worm copies itself to the Windows System directory as:

 Kernel32.exe

and modifies the registry in order to execute it at the next reboot:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32 = kernel32.exe

Additionally, Win32.Badtrans.29020 worm drops a 5632-byte file KDLL.DLL in the Windows System directory. This file is a keylogging trojan, which is detected by CA Antivirus solutions as Win32.Badtrans.5632. This trojan records keystrokes when a user is involved in activities that may require typing sensitive information, such as usernames and passwords (ie - when using a login dialog). This trojan can send the information it records to particular email addresses (although at the time of writing, several of these addresses were no longer available). This 'sleight of hand' trick by the virus writer has led to this trojan often being referred to as a 'password stealer'.

Similar to other worms that have recently been spreading in the wild (such as Nimda and Aliz), Badtrans.29020 also exploits a known security exploit in Internet Explorer. When a user views an HTML e-mail carrying the worm, Internet Explorer may launch the attached program executing the Badtrans.29020 code. This is due to the "Incorrect MIME Header" vulnerability in Microsoft Internet Explorer 5.01 and 5.5. For a detailed description of this security hole and links to the appropriate patches, please visit:
----
Szóval az IE és az OE a gyenge pont.