W32.Badtrans.B@mm

Ένας καινούργιος ιός εξαπλώνεται πολύ γρήγορα. Το worm λέγεται W32.Badtrans.B@mm και εμφανίστηκε στις 24 Νοεμβρίου. Αποτελεί παραλλαγή του W32.Badtrans@mm που είχε εμφανιστεί την περασμένη άνοιξη, όμως σε μια ποιο ανανεωμένη έκδοση. 
Ο Badtrans έρχεται ως μήνυμα ηλεκτρονικού ταχυδρομείου με διάφορα ονόματα επισυναπτόμενου αρχείου και συνδυασμό δύο καταλήξεων. Οι επιχειρήσεις που διαθέτουν δίκτυο δεν πρέπει να ανησυχούν ιδιαίτερα διότι οι εταιρείες ανάπτυξης αντι-ιικών προγραμμάτων αναφέρουν ότι ο ιός αποτυγχάνει στις περισσότερες περιπτώσεις που επιχειρεί να εισβάλει σε υπολογιστές επιχειρήσεων, καθώς συνήθως χρησιμοποιούνται προγράμματα που φιλτράρουν ύποπτα μηνύματα με κατάληξη .scr ή .pif. Το μεγαλύτερο πρόβλημα εντοπίζεται στους Home Users που αν δεν έχουν ενημερώσει το Antivirus που χρησιμοποιούνε με τη τελευταία version είναι πολύ πιθανό ο ιός να μεταδοθεί στο pc τους.
Αυτό που μέχρι στιγμής είναι γνωστό ο Badtrans δημιουργεί μεγάλο πρόβλημα ασφάλειας διότι εκτός του ότι διαδίδει τον εαυτό του αυτόματα, εγκαθιστά ένα Trojan το οποίο μεταδίδει στον κατασκευαστή του ίου το IP address του infected Η/Υ καθώς και passwords που πληκτρολόγησε ο χρήστης ή αριθμούς πιστωτικών καρτών που χρησιμοποίησε ο υπολογιστής κατά τη διάρκεια που είναι infected.
Το θέμα (Subject) του μηνύματος είτε είναι κενό, είτε περιλαμβάνει το ''Re:'' είτε το ''Re:'' ακολουθούμενο από το πραγματικό θέμα ενός από τα μηνύματα που το worm θα βρει στο Inbox. 
Το κυρίως μήνυμα είναι πάντα κενό ενώ υπάρχει πάντα και ένα συνημμένο αρχείο το οποίο απαρτίζεται από τρία μέρη: το όνομα του αρχείου και δύο επιθέματα (FILENAME + EXT1 + EXT2). 
O ιός λοιπόν είναι ενσωματωμένος στο κυρίως σώμα του e-mail και εκτελείται αυτόματα εν αγνοία του χρήστη, όταν αυτός κάνει κλικ πάνω στο συγκεκριμένο μήνυμα. 
Όταν το worm ενεργοποιηθεί εγκαθιστά το αρχείο KERNEL32.EXE στο directory system (π.χ. \windows\system) και τροποποιεί την Registry τοποθετώντας το κλειδί ''KERNEL=KERNEL32.EXE'' στο πεδίο ''HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce''.
Ο W32.Badtrans.B@mm, για να μην αποστείλει τον εαυτό του σε κάποιον παραλήπτη πάνω από μία φορά, ώστε αυτός να υποψιαστεί, αποθηκεύει όλες τις διευθύνσεις, στις οποίες έχει μεταδοθεί στο αρχείο, PROTOCOL.DLL, στο directory των Windows και κάθε φορά κάνει ένα σχετικό έλεγχο.
Το ποίο σημαντικό όμως κομμάτι είναι πως ο ιός αυτός εγκαθιστά ένα πρόγραμμα με την ονομασία ''KDLL.DLL'', μέσω του οποίου καταγράφεται κάθε πλήκτρο που θα πατηθεί. Οι πληροφορίες αυτές αποθηκεύονται στο αρχείο CP_25389.NLS στο directory των Windows και αποστέλλονται, σε ανύποπτο χρόνο, σε μία από τις διευθύνσεις uckyjw@hotmail.com ή ld8dl1@mailandnews.com, μαζί με τη ΙP address του infected Η/Υ. 
Τρόποι αντιμετώπισης
Καθώς ο W32.Badtrans.B@mm είναι καινούργιος ιός, τα στοιχεία για τη δράση και την εξολόθρευσή του πιθανά δεν είναι ακόμη πλήρη αλλά, εκτός από τον απλό τρόπο της χρήσης των νεότερων εκδόσεων των γνωστών αντι-ιικών προγραμμάτων (McAfee, Norton κ.τ.λ.), υπάρχει και ο χειροκίνητος τρόπος αντιμετώπισης ο οποίος είναι ο εξής: 

1. Διαγραφή του κλειδιού ''KERNEL=KERNEL32.EXE'' από το πεδίο ''HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce'' 

2. Διαγραφή του αρχείου KERNEL32.EXE από το System directory.

3. Διαγραφή των αρχείων KDLL.DLL, PROTOCOL.DLL και CP_25389.NLS από το directory των Windows.

________Παπανικολάου Νίκος-Database Administrator (Πηγή: in.gr-Flash.gr)

_________
1 2