Entre la docena de virus nuevos ( y afortunadamente poco exitosos) que
aparecen cada mes, hay dos que han logrado llegar al nivel 4 de peligro.

El primero es Badtrans, una nueva versión del virus reportado en el boletín
40. Este gusano esta diseñado para robar información, como passwords,
espiando que es lo que se teclea directamente en la computadora. Se puede
activar automaticamente con solo ver el correo en Outlook, gracias a un
problema de seguridad de Outlook. La unica forma de evitar esto es
actualizar windows en:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

El segundo virus, o gusano, aprovecha la misma falla de Outllok que
Badtrans, y que permite que el gusano se ejecute con solo ver el correo (ya
sea abriéndolo, o en la vista previa) en Outlook..

También ha estado circulando en Internet un consejo para protegerse o
detectar virus en el sistema, creando un correo invalido en la lista de
correos de Outlook.

Aunque la idea es buena, llega demasiado tarde. Hace un año hubiera
funcionado, pero ahora los virus y gusanos se han vuelto mas sofisticados,
y ya no utilizan Outlook para enviar los correos infectados sino sus
propias rutinas.

Como se ve ambos virus utilizan fallas en los programas de Microsoft. Eso
vuleve muy importante el estar al dia con los parches del sistema, pues el
solo VER el contenido de estos correos desde Oulook basta para infectarse.

Ante la sofisticación de los nuevos virus, hay que seguir varios consejos:

1. Tenga su antivirus Actualizado. Todos los antivirus tiene la opción
de actualizarse periódicamente vía Internet. Hágalo al menos una ves cada
dos semanas, o programe al antivirus para que avise automáticamente.

2. Pique con regularidad (al menos una ves al menús) el botón de
Windows update en el menú de inicio y baje todos los parches críticos que
este reportados. Muchos de los últimos virus se están aprovechando de estas
fallas de seguridad.

3. Nunca pique a un archivo adjunto, si no sabe de antemano que es lo
que contiene, sin recibe un archivo que no ha solicitado, nunca lo abra
hasta que verifique que es para usted. Incluso si viene de alguien conocido.

4. Si es posible, le sugiero que busque un programa de correo distinto
a Outlook, muchos de los virus utilizan características de Outlook, ya que
es el programa de correos mas popular.

 

Javier Delgado

1. Badtrans, gusano espia

i. Badtrans, gusano espia

nombre : W32.Badtrans.B@mm 
Descubierto: Noviembre 24, 2001 
Tipo: Gusano          
Daños: Problemas de seguridad, instala un programa que espia el   
       teclado. 
Carga: Realiza envios de correo en gran escala que pueden saturar
       las redes de computo. 

Resumen:
Este es un gusano bastante elaborado. Llega en un correo que
contiene un archivo adjunto que cambia de nombre y que ademas contiene
ordenes que pueden cambiar su comportamiento. El gusano se envia desde una
direccion falsa, por lo que es dificil sabe de donde llego. Cuando el
usuario ve el correo, el archivo se ejecuta automaticamente, debido a un
error de Outlook, , el gusano se activa e instala un programa que puede
espiar cualquier cosa que se teclees, su funcionamiento puede variar según
que ordens contenga el correo. Ademas busca direcciones de correo entre
varios archivos del disco duro, y luego hace envios masivos de correos
infectados a esas direcciones.

El programa tiene su propio codigo para enviar correos, por lo que no
utiliza Outlook para eso, como los primeros gusanos (Melissa).

Detalles;

El gusano como archivo adjunto en un correo con alguna de estos nombres.
Pics
images
README
New_Napster_Site
news_doc
HAMSTER
YOU_are_FAT!
stuff
SETUP
Card
Me_nude
Sorry_about_yesterday
info
docs
Humor
fun

Si usted usa Outlook y no esta actualizado, el solo ver este corre
significa que ya esta infectado.

Ademas utiliza el truco de utilizar dos extesiones, la primera extension
puede ser: .doc .mp3o .zip y la segunda (que
es la importante) puede ser .pif o .scr

El gusano puede venir de algunas de estas direcciones:
"Mary L. Adams" mary@c-com.net
"Monika Prado" monika@telia.com,
"Support" <support@cyberramp.net>
" Admin" <admin@gte.net>
" Administrator" <administrator@border.net>
"JESSICA BENAVIDES" <jessica@aol.com>
"Joanna" <joanna@mail.utexas.edu>
"Mon S" <spiderroll@hotmail.com>
"Linda" <lgonzal@hotmail.com>
" Andy" <andy@hweb-media.com>
"Kelly Andersen" <Gravity49@aol.com>
"Tina" <tina0828@yahoo.com>
"Rita Tulliani" <powerpuff@videotron.ca>
"JUDY" <JUJUB271@AOL.COM>
" Anna" aizzo@home.com

Que utiliza si no puede leer la direccion de correo del remitente.

Una ves que el gusano se ejecuta, lee una orden que viene en el correo y
que corresponde a las siguiente acciones:
001 has una bitacora de todos los textos de las ventadas
002 Encripta la bitacora de teclado
004 envia la bitacora a las direcciones de correo
008 Envia los passwords detectados
010 Apaga la maquina a la hora indicada
020 Usa copyname como nombre de registro (tambien en el kernel32)
040 Usar kernel32.exe como copyname
080 Usar el actual nombre de archiv como direccion a copiar.
100 Copiar al directorio de sistemas (directorio de windows)

Según estas ordenes, puede instalar un programa (Caballode troya) que espia
todo lo que uno teclee, cuando detecta que se tecleo alguna palabra clave
como pass, log, net, etc crea una bitacora durante 60 segundos, y cada 30
segundos la envia s por correo a alguna de estas direcciones:
ZVDOHYIK@yahoo.com
udtzqccc@yahoo.com
DTCELACB@yahoo.com
I1MCH2TH@yahoo.com
WPADJQ12@yahoo.com
smr@eurosport.com
bgnd2@canada.com
muwripa@fairesuivre.com
eccles@ballsy.net
S_Mentis@mail-x-change.com
YJPFJTGZ@excite.com
JGQZCD@excite.com
XHZJ3@excite.com
OZUNYLRL@excite.com
tsnlqd@excite.com
cxkawog@krovatka.net
ssdn@myrealbox.com

Prevencion:
Es importante instalar todas las actualizaciones marcadas como criticas por
Microsoft. Si no ha actualizado su computadora, al menos debe aplicar el
parche:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Tambien debe actualizar su antivirus.
Pronto publicare como eliminar el virus

Atte.
Javier Delgado