Introducción al virus BadTrans

El virus BadTrans (cuyo nombre de código es W32.BadTrans.B o W32/BadTrans.B) es un gusano que se transmite por correo electrónico. Este tipo de virus puede utilizar también otro método para diseminarse:

• Las fallas de seguridad de Microsoft Internet Explorer

El virus BadTrans.B afecta particularmente a aquellos que utilizan Microsoft Outlook en los sistemas operativos Windows 95, 98, Millenium, NT4 y 2000, ya que el virus se activa en Outlook con tan sólo ver el mensaje (y no al hacer clic en el adjunto). http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Cómo trabaja el virus

El virus BadTrans analiza la lista de direcciones en la libreta de direcciones del usuario infectado, así como también páginas Web contenidas en el caché del navegador y la carpeta Mis documentos.

Después el virus BadTrans envía un correo electrónico a cada una de las direcciones:

• sin texto alguno o conteniendo la frase Take a look to the attachment.
• con el asunto Re: <asunto de un mensaje anterior>
• con el adjunto que tiene un nombre que está compuesto por tres partes
  • Primera parte: Uno de los siguientes mensajes:
    • CARD
    • DOCS
    • FUN
    • HAMSTER NEWS_DOC
    • HUMOR
    • IMAGES
    • ME_NUDE
    • New_Napster_Site
    • News_doc
    • PICS
    • README
    • S3MSONG
    • SEARCHURL
    • SETUP
    • Sorry_about_yesterday
    • YOU_ARE_FAT!
  • Segunda parte: Una de las siguientes extensiones:
    • .DOC
    • .MP3
    • .ZIP
  • Tercera y última parte: Una de las siguientes extensiones:
    • .pif
    • .scr

• Me_Nude.MP3.scr
• News_doc.DOC.scr
• HAMSTER.DOC.pif
• PICS.doc.scr
• HUMOR.MP3.scr
• README.MP3.scr
• FUN.MP3.pif
• YOU_are_FAT!.MP3.scr
• y así sucesivamente.

Síntomas de infección

Las estaciones de trabajo infectadas por el gusano BadTrans tendrán el siguiente archivo en su disco duro:

• kdll.dll. Se trata de un Troyano que graba todas las teclas que se pulsan para recuperar las contraseñas.

Para saber si se tiene un virus, se debe realizar una búsqueda de archivos que posean alguno de los nombres mencionados previamente en todos los discos duros (Inicio/Buscar/Todos los archivos y carpetas...).

Cómo eliminar el virus

El mejor método para eliminar el gusano BadTrans es, en primer lugar, desconectar el equipo de la red al equipo infectado y después ejecutar un programa antivirus actualizado.

Además, el virus se difunde al explotar un agujero de seguridad de Microsoft Outlook, es decir que el equipo puede infectarse con el virus sin que el usuario haga clic en el adjunto. Para solucionar el agujero de seguridad, se debe descargar el parche de Microsoft Outlook. Verifique su cliente de correo electrónico, y de ser necesario, descargue el parche:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Más información acerca del virus

• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_BADTRANS.B
• http://www.01net.com/rdn?oid=168725=3034
• http://vil.nai.com/vil/virusSummary.asp?virus_k=99069
• http://www.sophos.fr/virusinfo/analyses/w32badtransb.html
• http://www.F-Secure.com/v-descs/badtrans.shtml
• http://www.computing.vnunet.com/News/1127123