Badtrans.b – epidemija u toku!

Nova virusna infekcija mogla bi da pomuti „slavu“ SirCam-a, koji je „harao“ Mrežom proteklih meseci. Reč je o virusu Badtrans.b, kombinaciji crva i trojanca, novoj verziji (zato i postoji ono „b“ u nazivu) već poznatog zloćudnog programa. I ovoga puta kreator(i) koriste poznati propust u Microsoft Outlook-u i Outlook Express-u, šaljući crva-trojanca kao attachment poruke koji se automatski aktivira.

Da biste izbegli automatsko otvaranje i infekciju (ne samo ovim već i drugim virusima koji koriste ili će koristiti ovu „rupu“), treba skinuti „zakrpu“ i učiniti bezbednim svoj email-klijent: možete je pronaći ovde. Treba izabrati zakrpu u odnosu na verziju Internet Explorer-a koju koristite, pri čemu su korisnici najnovije verzije (6.0) bezbedni.

Vratimo se novoj „štetočini“. Badtrans.b se širi putem e-mail poruka koje ne sadrže nikakav tekst, pri čemu subject može da bude prazan, ili sadrži tekst „Re:“, ili tekst „Re:“ + subject poruke koju ste vi poslali. Ova poslednja varijanta jeste lukavo rešenje: na zaraženom kompjuteru Badtrans.b pronalazi poruke u inbox-u na koje nije odgovoreno, i „odgovara“ na njih. Na taj način, korisnik dobija poruku od poznate osobe sa kojom je kontaktirao, a u subject-u prepoznaje odgovor na poslatu poruku.

Atachment koji stiže je oko 29 Kb težak, a njegovo ime se sastoji iz tri dela, pri čemu su sva tri slučajno izabrana, tvoreći veliki broj mogućih kombinacija. Prvi može da bude: fun, Humor, docs, info, Sorry_about_yesterday, Me_nude, Card, SETUP, stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, images ili Pics. Drugi se bira iz grupe: .doc., .mp3. i .zip. Treći, poslednji deo imena, može da bude pif ili scr.

Kada se attachment otvori (bilo voljno ili automatski), pojavljuje se poruka pod naslovom „Install error“, u kojoj se nalazi tekst: „File data corrupt: probably due to a bad data transmission or bad disk access.“ Attachment se kopira u Windows direktorijum kao INETD.EXE i menja se WIN.INI fajl, tako da se INETD.EXE automatski startuje sa podizanjem Windows-a (startup). U Windows System direktorijum kopiraju se fajlovi: KERN32.EXE (trojanac) i KDLL.DLL (.dll fajl koji omogućuje špijuniranje onoga što se kuca na tastaturi zaraženog kompjutera). Takođe, vrše se promene i u Registry bazi, kako bi se trojanac automatski startovao sa podizanjem sistema. Nova vrednost je:
HKLMSOFTWAREMicrosoftWindowsCurrentVersion RunOncekernel32=kern32.exe

Pošto su izvršene sve ove promene, trojanac šalje IP adresu žrtve autoru, posle čega on može da se poveže i ukrade informacije poput korisničkih imena i lozinki. Trojanac može da sadrži i program za „nadzor“ tastature, pomoću koga mogu da se otkriju osetljive informacije poput broja kreditne kartice ili računa u banci. Badtrans.b je spoj trojanca i crva: pored već opisanih „trojanskih“ osobina, svoje kopije šalje na sve adrese koje pronađe na hard-disku zaraženog računara. Poruka koja se šalje može da otkriva pošiljaoca koji zaista postoji, ali u pitanju može da bude i jedna od sledećih izmišljenih adresa: “ Anna“, „JUDY“, „Rita Tulliani“, „Tina“, „Kelly Andersen“, “ Andy“, „Linda“, „Mon S“, „Joanna“, „JESSICA BENAVIDES“, “ Administrator“, “ Admin“, „Support“, „Monika Prado“, „Mary L. Adams“, “ Anna“, „JUDY“, „Tina“.

Ako je do zaraze došlo, kako se izlečiti? Upotrebom antivirusnog programa sa najnovijim potpisima virusa, ili pomoću programa isključivo namenjenih brisanju Badtrans-a. Možete ih skinuti besplatno sa stranica: