E' arrivato con prepotenza il Virus BADTRANS.B
si insinua nel pc e spia tutto quello che si scrive

28/11/01

Un nuovo virus, in rete da 4 giorni, che si propaga attraverso le mail è in grado di spiare ciò che il proprietario del computer digita sulla tastiera si è andato propagando a velocità sostenuta nei primi giorni della settimana e ormai migliaia di pc ne sono rimasti vittime in Europa e negli Stati Uniti.

Il nuovo virus si chiama "Badtrans.b" ed è una variante di un "worm" già noto che si annida nel pc e si organizza per replicarsi attraverso alcune versioni del programma di posta Outlook, della Microsoft.

"Il fatto che questo virus possa registrare i movimenti dei tasti di un computer ha enormi implicazioni per la riservatezza personale e delle società e mette in luce quanto siano avanzate le tecniche di programmazione dei virus", commenta Andy Faris della MessageLabs Americas.

Secondo Faris gli utenti privati sono più soggetti delle grandi società all'azione del virus, visto che queste ultime sono in grado di bloccarlo all'entrata della propria rete.

Una delle caratteristiche nuove che preoccupa gli esperti è che gli utenti possono essere infettati anche solo se leggono il messaggio di mail nella finestra di preview, senza cliccare sul programma allegato. Naturalmente il virus si diffonde anche se si clicca sull'allegato e si avvia il programma.

Una volta che Badtrans si lancia, comincia a distribuire files sulla macchina infettata e installa un programma che apre una "porta secondaria" che offre a potenziali hacker accesso remoto al vostro pc. Il programma, inoltre, installa un programma che registra qualsiasi cosa l'utente digiti sulla tastiera: un modo, per esempio, con il quale è possibile rubare i codici delle carte di credito o le password per l'accesso a file e reti riservate.

April Goostree, direttore della ricerca antivirus della McAfee, riferisce che i dati raccolti dalla tastiera venivano inviati a un sito web che nel frattempo è stato chiuso. Non è chiaro - dice - quante persone abbiano avuto accesso al sito. La Goosetree dice comunque di non essere a conoscenza di informazioni personali che siano state effettivamente rubate.

"Non è certo una cosa delle dimensioni di "Love Letter" o di "Sircam" - aggiunge la Goosetree - Ma la rapidità con il quale è esploso in due giorni lo rende certamente uno dei cinque virus più gravi di questo anno".

Il messaggio che porta Badtrans è particolarmente "furbo": nel campo che ospita l'oggetto della missiva appare un "Re:" seguito da un argomento effettivamente oggetto di un altro messaggio, il che lo fa apparire come una risposta a un messaggio precedente.

Essi si diffonde poi a tutti i messaggi non ancora letti nella casella postale dell'utente. L'operazione di reinvio non scatta però finché il computer non viene spento e riacceso.

L'allegato può apparire con molte diverse "estensioni", come: .zip, .doc, e .mp3

Questi alcuni dei nomi con i quali può comparire il file allegato: Humor, docs, s3mson, Me_nude, Card, SearchURL, YOU_are_FAT!, news_doc, images, smPics.

Questo virus ha una diffusione a macchia d'olio enorme, a me sono già giunte almeno una quindicina di mail a casa, e circa 5 in ufficio..... non poco per un virus appena nato, e scoperto il 24/11, cioè 4 giorni fa.

Cavalli di troia
Badtrans, un virus che risponde alla posta per noi
vediamo come funziona....

Badtrans è un virus di tipo cavallo di troia estremamente diffuso: negli Stati Uniti è addirittura al primo posto in termini di infezioni per alcuni produttori di software antivirus. Quindi è da tenere d'occhio; secondo la Symantec è un virus di livello 4, ad estrema diffusione; vediamo un pò che viene detto sul sito della Symantec al riguardo e come debellarlo.

Arriva come messaggio di posta elettronica e ha come allegato un programma chiamato Inetd.exe. Se si esegue tale programma, appare un pannello di errore con intestazione winzip Self Extractor, seguito dal messaggio bad disk access or bad data transmission . In pratica, sembrerebbe un allegato non eseguibile, prodotto dal software Winzip come file autoestraente.

In realtà si tratta di un virus che in questo modo si installa nel nostro sistema. Innanzitutto, copia se stesso, ovvero il file Inet.exe, nella cartella di Windows (C:windows), poi cancella i file Kern32.exe e Cp_23421.nls. Quindi invia un messaggio di posta elettronica, a nostro nome, a tutti i mittenti che appaiono nella rubrica di Outlook od Outlook Express e che hanno messaggi segnati come “non ancora letti”. L'e-mail creata dal virus avrà lo stesso soggetto e lo stesso testo di quella originale. Il virus modifica poi il file Win.ini per potersi attivare di nuovo al successivo avvio di Windows.

Non è dunque un virus distruttivo, ma può essere un fastidio per chi ci invia numerose e-mail ma, soprattutto, Badtrans utilizza intensamente la connessione Internet per inviare messaggi di posta elettronica con copie di se stesso.

È già riconosciuto da tutti i principali antivirus commerciali, già a livello di allegato di posta elettronica, a patto che abbiate le definizioni virali aggiornate.... AGGIORNATELE!!!!!!.