Real e Ilustre Colegio de Abogados de Zaragoza
 
W32/Badtrans@MM
 
 
  
Nombre: W32/Badtrans@MM
Alias: I-Worm.BadTrans, BadTrans.A
Categorías del virus: Gusano
¿Reparable?: Si
Fecha de aparición: 11/04/2001
Nivel de Riesgo (0-5): 1
Nivel de Distribución (0-5): 1
Nivel de Daños (0-5): 2
  
  
Descripción breve: 

          W32/Badtrans@MM es un gusano con un tamaño de 13.312 bytes, que se propaga por correo electrónico. Su acción más destacable consiste en responder a todos los mensajes de correo no leídos incluyendose a sí mismo como un fichero adjunto. Este gusano está compuesto por dos archivos, uno de los cuales es un fichero de tipo dropper. Éste es el fichero que se transmite por correo. Cuando se ejecuta este fichero se muestra un mensaje de error en pantalla.
  
  
Modo de propagación: 
  
          Este gusano está preparado para enviarse a sí mismo a través del correo electrónico. En concreto, W32/Badtrans@MM se encarga de responder a todos los mensajes no leídos en el sistema afectado enviando mensjes en los que el gusano se incluye como fichero adjunto. El fichero que contiene el gusano podrá tener uno de los siguientes nombres: 

    • Pics.ZIP.scr
    • images.pif
    • README.TXT.pif
    • New_Napster_Site.DOC.scr
    • news_doc.scr
    • hamster.ZIP.scr
    • YOU_are_FAT!.TXT.pif
    • searchURL.scr
    • SETUP.pif
    • Card.pif
    • Me_nude.AVI.pif
    • Sorry_about_yesterday.DOC.pif
    • s3msong.MP3.pif
    • docs.scr
    • Humor.TXT.pif
    • fun.pif
  
Síntomas de infección: 

          Al ejecutar el fichero adjunto, aparecerá el siguiente mensaje en pantalla:
 
 

 

          Como se puede apreciar en la imagen, se trata de un mensaje que pretende hacer creer a los usuarios que el fichero se encuentra dañado
  
  
Métodos de infección: 
  
          Una vez que se ha mostrado este mensaje en pantalla, el gusano genera un fichero llamado HKK32.EXE. Este fichero se copia a sí mismo en el directorio WINDOWS\SYSTEM con el siguiente nombre: KERN32.EXE. A continuación, el gusano se encarga de eliminar el fichero HKK32.EXE. El fichero recién creado tiene como función principal, el envío del fichero dropper por correo electrónico. Por otro lado, el dropper también se copia el en el directorio de Windows con el siguiente nombre INETD.EXE.

          Finalmente, el gusano realiza ciertos cambios en el registro de Windows y en el fichero WIN.INI para asegurar su ejecución en los próximos arranques de la máquina afectada. En concreto, el gusano crea una entrada en la siguiente clave del registro de Windows:

                    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
                    kernel32=kern32.exe

          Por otra parte, la entrada que introducuce en el fichero WIN.INI: 

                    run=C:\WINDOWS\INETD.EXE