Badtrans.B 
    Compartilhando conhecimento desde 1998                                      Quem sou    Serviços    Colaborações   Contatos
 
seta.gif (161 bytes)  
 > Badtrans.B

Para quem ainda não reparou eu esclareço: estamos atualmente em meio a uma das maiores epidemias causadas até hoje por um vírus de computador, o nome do vilão é W32.Badtrans.B@mm descoberto em 24 de Novembro de 2001 sendo este uma variante muito mais agressiva do W32.Badtrans.13312@mm ou Badtrans.A descoberto em 11 de Abril de 2001.

Não vou ser redundante ao escrever sobre as características técnicas desse elemento pois elas estão disponíveis em todos os sites que tratam desse assunto sendo que os das empresas desenvolvedoras de antivírus são os mais completos (seguem links abaixo). Vou falar do que tenho observado sobre esse evento e como pode-se evitar a contaminação facilmente além de como descontaminar o sistema caso este tenha sido infectado.

Costumo avisar os remetentes de mensagens contaminadas pois sei que na maioria dos casos eles nem sabem o que está ocorrendo, além do aviso é claro que envio também uma orientação de como sanar o problema. Reparei que as mensagens enviadas a remetentes do Badtrans.B voltavam com aviso de erro e fuçando descobri que o worm altera o e-mail do remetente contaminado exatamente para que ele não seja avisado, ele adiciona um caractere _ ao e-mail da vítima. Por exemplo: uma mensagem contaminada que eu receba de joao@provedor.com.br será respondida para _joao@provedor.com.br e é claro que não chegará ao destinatário... Para quem como eu costuma avisar os remetentes contaminados é bom prestar atenção nesse detalhe.

Diversos worms aproveitam-se de falhas de segurança (bugs) do Windows, Internet Explorer e Outlook. A Microsoft ciente disso disponibiliza para download arquivos que corrigem essas falhas (patchs). O Badtrans.B se aproveita de uma falha do Outlook que permite a execução de anexos sem solicitação do usuário, essa mesma vulnerabilidade foi explorada pelo Nimda que causou um grande estrago ao redor do mundo há pouco tempo e pelo W32.Toal.A@mm também. Sim, e daí? E daí que o patch de correção dessa falha de vulnerabilidade está disponível desde 29 de março de 2001  < http://www.microsoft.com/technet/security/bulletin/MS01-020.asp > o que denota ignorância e/ou negligência de administradores de sistemas e usuários que tenham tido seus sistemas contaminados por esses elementos, e não são poucos... Isso sem falar que um simples antivírus atualizado já dificulta bastante a contaminação e também que os usuários que usam a versão atual do Internet Explorer e Outlook a 6.0 também estão seguros em relação a essa falha.

Outros vírus/worms aproveitam-se de outras falhas que também já tem correções disponíveis esperando que os interessados as baixem e instalem: Code Red < http://www.microsoft.com/technet/security/bulletin/MS01-033.asp >, W32/Finaldo.b@mm < www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-027.asp >, VBS.Haptime.A@mm <http://www.microsoft.com/technet/ie/tools/scrpteye.asp > e etc...

Sugestões para se manter a salvo desse tipo de ameaça:

-         manter antivírus atualizado (sempre!)

-         manter-se informado sobre os patchs de correção de vulnerabilidades e assim manter seu sistema atualizado e protegido em relação a vulnerabilidades conhecidas

-         atualizar periodicamente os programas usados em conexões com a Internet; Windows, IExplorer, Outlook e etc...

-         configurar Windows para que as extensões de arquivos sejam visíveis e saber que SEMPRE que um arquivo tenha dupla extensão deve ser deletado pois isso é um artifício para enganar o usuário que não visualiza as extensões.

-         não abrir nenhum e-mail que tenha um anexo com uma extensão .pif ou .scr.

Como desinfectar sistemas contaminados pelo Badtrans.B:

 A Mynetis.com oferece vacina gratuita para o Badtrans.B
 Para ajudar a combater essa epidemia, a Mynetis.com oferece gratuitamente a vacina para Badtrans.B a todos os seus clientes cadastrados em seu site. Os usuários não cadastrados podem realizar o cadastro e o tratamento gratuitamente no site da empresa.  www.mynetis.com

Outras soluções são as ferramentas específicas para remoção do Badtrans.B oferecidas pela Symantec e Panda Software que podem ser encontradas em:

http://securityresponse.symantec.com/avcenter/FixBadtr.exe

http://updates.pandasoftware.com/pq/badtrans/pqremove.com

Notícias sobre o Badtrans:

http://www2.uol.com.br/info/aberto/infonews/112001/29112001-26.shl

http://www2.uol.com.br/info/aberto/infonews/112001/26112001-12.shl

http://pcworld.terra.com.br/pcw/update/5552.html

http://www2.uol.com.br/info/aberto/infonews/112001/27112001-23.shl

http://idgnow.terra.com.br/idgnow/pcnews/2001/11/0072

http://idgnow.terra.com.br/idgnow/pcnews/2001/11/0065 

Empresas de antivírus e o Badtrans:

http://www.symantec.com.br/region/br/avcenter/data/w32.badtrans.b@mm.html

http://www.symantec.com.br/region/br/avcenter/data/w32.Badtrans.13312_mm.html

http://vil.nai.com/vil/virusSummary.asp?virus_k=99069

http://www.pandasoftware.es/enciclopedia/W32BadtransB.htm

http://www.ealaddin.com/home/csrt/valerts2.asp?virus_no=10093&cf=tl

http://www.data-fellows.com/v-descs/badtrs_b.shtml 

.
Principal | Artigos | AV Online | Ferramentas | Testes | Notícias | Boletim informativo | Serviços | Quem sou | Contatos
 .

Ary Lima Jr