Kezdolap  
 
   


W32/Badtrans@mm

Adatlap

Megjelenés dátuma: 04/11/2001
Eredete: Ismeretlen
Hossza: 13,312 A variáns, 29,020 B variáns
Típusa: Vírus
Altípusa: Internet programféreg
Szükséges adatbázis: 4134 (A), 4172 (B)
Szükséges keresőmotor: 4.0.70 (A), 4.1.00 (B)
DAT kibocsátás dátuma: 11/21/2001

Tulajdonságok

2001. november 25.

A McAfee víruskutató részlege, az AVERT közepesre emelte a Badtrans.b vírus előfordulási valószínűségét. (Medium on watch). A bejelentések szerint a vírust sikerült a levelezőszervereken és az Intenet kijáratoknál megállítani. Ezzel együtt az otthoni felhasználóktól érkezett hívásokból kiderült, hogy ez a felhasználói kör kevésbé védett. Az AVERT a két felhasználói csoport közti különbségért a rendszeres (vállalati szféra) vagy éppen a rendszertelen (magán-felhasználók) frissítéseket tartja felelősnek. Az AVERT, mint mindig, most is javasolja a legfrissebb adatfájlok telepítését.

FONTOS! A vírus detektálásához szükséges a tömörített állományok ellenőrzése!

A McAfee víruskeresők a felderítési technikából adódóan a vírus mindkét változatát (A és B) W32/Badtrans@mm néven azonosítják. Az új variáns "jelszógyűjtő" moduljának detektálásához a 4172-es adatbázisok szükségesek!

2001. november 24.

A Badtrans vírus új változatát fedezték fel. Ezt a mutációt több antivírus cég Badtrans.b variáns néven azonosítja. A VirusScan és a többi McAfee program a 4168-as és újabb adatfájlokkal kellő védettséget biztosít további frissítés nélkül. A vírust a keresők W32/Badtrans@mm néven azonosítják.

Ennek a változatnak az előfordulási valószínűsége az eredetihez hasonlóan közepes. A fertőzési valószínűség természetesen nagyobb, ha a 4168-as adatbázisokat nem telepíti.

Eredeti változat (Badtrans.a)

A vírus a tömeges levelezést kedvelő programférgek népes családjának tagja. A Microsoft Outlook segítségével terjed, az olvasatlan levelekre válaszol. Ráadásképpen egy RAT (Remote Access Trojan) programot - távfelügyeleti eszköz kliens oldali komponense - is telepít a számítógépen. Ezt a külön programot a víruskeresők Backdoor-NK.svr néven ismerik, a 4134-es adatbázis előtt heurisztikusan mint New Backdoor-t azonosították).

A vírus futásakor egy "Install error" nevű ablak jelenik meg, melynek tartalma a következő: "File data corrupt: probably due to a bad data transmission or bad disk access." A Badtrans vírus másolata a WINDOWS könyvtárba kerül INETD.EXE néven, amely a számítógép indulásakor automatikusan elindul. Ez a WIN.INI-ben elhelyezett bejegyzésnek köszönhető. A trójai (backdoor) program szintén automatikusan indul rendszerújraindításkor, ugyanis egy példánya a WINDOWS \ SYSTEM alkönyvtárba kerül KERN32.EXE és HKSDLL.DLL néven.

 

A Registry-ben található alábbi bejegyzés alapján aktivizálódik:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kern32.exe

Megjegyzés: Windows NT és Windows 2000 alatt a Badtrans vírus nem a WIN.INI-ből indul, hanem az alábbi regisztrációs bejegyzés alapján:

HKEY_USERS\Software\Microsoft\Windows NT\CurrentVersion\Windows\RUN=%WinDir%\INETD.EXE

A trójai program aktivizálódása után elküldi a fertőzött számítógép IP címét a vírus írójának. Amennyiben ezt az információt megkapja a vírus írója, az Interneten keresztül rá tud kapcsolódni a számítógépre, és így a felhasználónév és a hozzá tartozó jelszó ismeretében a számítógép teljes ura lehet. (A trójai program tartalmaz egy másik modult is, amely a számítógépen tárolt bankkártyákhoz tartozó kódok, jelszavak figyelését végzi.)

A fertőzést követően a vírus minden olvasatlan e-mail feladójának címére továbbküldi magát. (Csak Microsoft Outlook-on keresztül.) A csatolt állománynevek az alábbiak lehetnek:

Card.pif
docs.scr
fun.pif
hamster.ZIP.scr
Humor.TXT.pif
images.pif
New_Napster_Site.DOC.scr
news_doc.scr
Me_nude.AVI.pif
Pics.ZIP.scr
README.TXT.pif
s3msong.MP3.pif
searchURL.scr
SETUP.pif
Sorry_about_yesterday.DOC.pif
YOU_are_FAT!.TXT.pif

Az új variáns (Badtrans.b)

A "b" variáns KERNEL32.EXE néven kerül a számítógép WINSOWS \ SYSTEM alkönyvtárába és az alábbi bejegyzést hozza létre a Registry-ben:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kernel32.exe

A variáns "jelszógyűjtő" modulja KDLL.DLL néven kerül a számítógépre, amelyet a 4.0.4172-es vagy újabb adatbázisokkal lehet detektálni.

A vírus az összes bejövő levélre válaszként, valamint az *.asp és a *.ht* állományokon található email címekre továbbküldi magát az alábbi nevek valamelyikével:

  • " Anna"
  • "JUDY"
  • "Rita Tulliani"
  • "Tina"
  • "Kelly Andersen"
  • "Andy"
  • "Linda" "Mon S"
  •  
  • "Joanna"
  • "JESSICA BENAVIDES"
  • " Administrator" " Admin"
  • "Support"
  • "Monika Prado"
  • "Mary L. Adams"

 

A levél tárgymezojének tartalma: "Re:"

A Badtrans.b variáns az alábbi állománynevekkel kerülhet a számítógépünkre (dupla kiterjesztéssel):

  • fun
  • Humor
  • docs
  • Info
  • Sorry_about_yesterday
  • Me_nude
  • Card
  • SETUP
  • stuff
  • YOU_are_FAT!
  • HAMSTER
  • news_doc
  • New_Napster_Site
  • README
  • images
  • Pics

Az állomány első kiterjesztése a .DOC, .MP3, .ZIP közül valamelyik, a második kiterjesztés pedig vagy .PIF vagy .SCR

Tünetek

-Az INETD.EXE, a KERN32.EXE, a KERNEL32.EXE és a HKSDLL.DLL jelenléte a merevlemezen.
- Automatikusan kimenő levelek. 

A vírus kézi eltávolítása:

Indítsa újra a számítógépet MS-DOS módban.

  • Törölje az INETD.EXE-t, a KERN32.EXE-t, HKSDLL.DLL-t és a KDLL.DLL-t.
  • Indítsa újra a Windows-t.
  • Törölje az alábbi Registry kulcsokat:
  •  
  • HKEY_USERS\Software\Microsoft\Windows NT\CurrentVersion\Windows\RUN=%WinDir%\INETD.EXE
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kern32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kernel32.exe

Windows ME felhasználóknak:

FONTOS: a Windows ME rendszerben működő automatikus visszaállító segédprogram a kiválasztott fájlokat a C:\_Restore mappába helyezi. Elofordulhat, hogy a mappába az automatikus mentés közben vírusos állomány is bekerül, azonban ebben a könyvtárban a VirusScan nem tudja a vírust tisztítani.

A C:\_Restore könyvtárban tárolt fertozött fájlok tisztítása a Restore Utility kikapcsolásával:

1. Kattintson jobb gombbal a MyComputer / Sajátgép ikonra.
2. Válassza a Performance / Teljesítmény panelt.
3. Válassza a File System / Fájlrendszer gombot.
4. Kattintson a Troubleshooting / Hibaelhárítás panelre.
5. Jelölje meg a "Disable System Restore" négyzetet.
6. Kattintson az "Apply/Alkalmaz" gombra.
7. Zárja be az ablakokat, majd indítsa újra a gépet Csökkentett módban / Safe Mode.
8. Futtassa a VirusScan-t a fertozött állományok törlésére szolgáló "Delete" opcióval.
9. A fájlok eltávolítása után indítsa a gépet normál üzemmódban.

FONTOS: a Restore Utility-t újra engedélyezni kell!

Egyéb elnevezések

Backdoor-NK.svr
BadTrans (F-Secure)
I-Worm.Badtrans (AVP)
TROJ_BADTRANS.A (Trend)
W32.Badtrans.13312@mm (NAV)


 

 

 
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2002.