W32/Badtrans-B

Veuillez suivre les instructions de suppression des vers.

Veuillez lire les instructions de suppression de W32/Badtrans-B.

W32/Badtrans-B est un ver de messagerie qui utilise MAPI pour se propager. Le ver se fait suivre aux adresses trouvées sur l'ordinateur infecté comme message e-mail sans texte.

Le ver recherche des adresses auxquelles s'envoyer dans le carnet d'adresses. De plus, il recherche des pages web dans les dossiers de cache Internet et "Mes Documents", recherchant d'autres adresses e-mail.

Si le ver répond à un e-mail trouvé sur la machine infecté, il utilisera l'adresse de l'utilisateur infecté dans le champs De: de l'e-mail, autrement il utilisera l'une des adresses suivante :

" Anna" <aizzo@home.com>
"JUDY" <JUJUB271@AOL.COM>
"Rita Tulliani" <powerpuff@videotron.ca>
"Tina" <tina0828@yahoo.com>
"Kelly Andersen" <Gravity49@aol.com>
" Andy" <andy@hweb-media.com>
"Linda" <lgonzal@hotmail.com>
"Mon S" <spiderroll@hotmail.com>
"Joanna" <joanna@mail.utexas.edu>
"JESSICA BENAVIDES" <jessica@aol.com>
" Administrator" <administrator@border.net>
" Admin" <admin@gte.net>
"Support" <support@cyberramp.net>
"Monika Prado" <monika@telia.com>
"Mary L. Adams" <mary@c-com.net>

L'e-mail utilise une faille connue de certaintes versions de Outlook Express 5 de façon à exécuter automatiquement la pièce jointe. Microsoft a publié un correctif qui est supposé répondre à ce problème. Il est disponible à partir de http://www.microsoft.com/technet/security/bulletin/MS01-027.asp.
(Ce correctif résout un nombre de failles dans le logiciel de Microsoft, incluant celle exploitée par ce ver.)

Le ver génére un objet en lisant les e-mail de la machine infectée et y "répond". Par exemple,

Re: <objet trouvé en lisant le courrier sur la machine infectée>

Le ver essaie de créer un nom pour la pièce jointe en générant en utilisant trois parties séparées. La première partie est choisie parmi la liste suivante :

CARD
DOCS
FUN
HAMSTER
NEWS_DOC
HUMOR
IMAGES
info
ME_NUDE
New_Napster_Site
PICS
README
S3MSONG
SEARCHURL
SETUP
Sorry_about_yesterday
stuff
YOU_ARE_FAT!

La seconde à partir de cette liste :

.DOC.
.MP3.
.ZIP.

(un bug dans le ver l'empêche de sélectionner l'option ".ZIP")

et enfin :

pif
scr

Pour cette raison, la pièce jointe peut avoir de nombreux noms, incluant :

card.DOC.pif
docs.DOC.pif
fun.MP3.pif
HAMSTER.DOC.PIF
Humor.MP3.scr
IMAGES.DOC.pif
Me_nude.MP3.scr
New_Napster_Site.MP3.pif
Pics.DOC.scr
README.MP3.scr
S3MSONG.DOC.scr
SEARCHURL.MP3.pif
SETUP.DOC.scr
Sorry_about_yesterday.MP3.pif
Sorry_about_yesterday.MP3.scr
stuff.MP3.pif
YOU_ARE_FAT!.DOC.pif
YOU_are_FAT!.MP3.scr

Si la pièce jointe est exécutée, le ver peut se copier dans le répertoire Windows ou System avec le nom de fichier kernel32.exe et peut changer la clé HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce dans la base de regitre pour que le ver s'exécute au prochain démarrage de Windows. Veuillez remarquer que la clé de registre pointera vers la pièce jointe originale sur le ver n'a pas créé une copie dans le répertoire Windows ou System.

Le ver palce aussi le fichier kdll.dll, qui est le cheval de Troie voleur de mots de passe Troj/PWS-AV.

W32/Badtrans-B utilise le cheval de Troie Troj/PWS-AV pour garder les frappes du clavier dans un fichier nommé cp_25389.nls dans le répertoire système de Windows. Ce fichier peut être crypté.

W32/Badtrans-B essaiera d'envoyer ce fichier à l'une des adresses e-mail suivante :

ZVDOHYIK@yahoo.com
udtzqccc@yahoo.com
DTCELACB@yahoo.com
I1MCH2TH@yahoo.com
WPADJQ12@yahoo.com
fjshd@rambler.ru
smr@eurosport.com
bgnd2@canada.com
muwripa@fairesuivre.com
rmxqpey@latemodels.com
eccles@ballsy.net
/ suck_my_prick@ijustgotfired.com
suck_my_prick4@ukr.net
thisisno_fucking_good@usa.com
S_Mentis@mail-x-change.com
YJPFJTGZ@excite.com
JGQZCD@excite.com
XHZJ3@excite.com
OZUNYLRL@excite.com
tsnlqd@excite.com
cxkawog@krovatka.net
ssdn@myrealbox.com