brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
Centro de Pesquisas AntiVirus - SARC

Level 3

W32.Badtrans.13312@mm

Descoberto em: 11 de Abril de 2001
Última Atualização: 26 de Abril de 2001 às 15:18:56 PST

Versão para impressão

Devido ao aumento de submissões, agora o W32.Badtrans.13312@mm foi atualizado para o nível 4 de ameaça. Ele é um worm de MAPI que responde todos os e-mails não lidos nas suas pastas de mensagens, e libera um Trojan backdoor.

Também conhecido como: W32/Badtrans-A, W32/Badtrans@MM, BadTrans, IWorm_Badtrans, I-Worm.Badtrans, TROJ_BADTRANS.A

Categoria: Worm

Extensão da Infecção: 13312

Definições de vírus: 11 de Abril de 2001

Avaliação da ameaça:

High Medium High
Atuação:
Alta		 Dano:
Médio		 Distribuição: Alta

Atuação

  • Número de infecções: 50 - 999
  • Número de locais: Mais de 10
  • Distribuição geográfica: Alta
  • Contenção da ameaça: Fácil
  • Remoção: Fácil

Danos:

  • Carga:
    • Envio de e-mail em grande escala: Ele responde todas as mensagens não lidas nas pastas de mensagem dentro do programa padrão de e-mail MAPI.
    • Compromete as configurações de segurança: Ele libera um Trojan backdoor.

Descrição técnica:
Quando o worm é executado, ele libera o Trojan backdoor Hkk32.exe na pasta \Windows, e então o executa. Ele então se copia para dentro da pasta Windows como inetd.exe, adiciona uma linha run= no Win.ini, e exibe a seguinte mensagem:

mensagem

Na próxima vez que o computador for reiniciado, o worm irá aguardar 5 minutos, depois irá usar o MAPI para encontrar todas as mensagens de e-mail não lidas e irá responder a todas. O worm vai se anexar ao e-mail, usando um dos seguintes nomes de arquivo:

Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif

Instruções de remoção:
Como o W32.Badtrans.13312@mm afeta diferentes sistemas operacionais de formas distintas, a forma de remoção deste worm depende do sistema operacional. Siga as instruções na ordem abaixo.

Para remover o worm:

  1. Execute o LiveUpdate para ter certeza de que você está com as definições de vírus mais recentes.
  2. Inicie o Norton AntiVirus (NAV), e então faça uma verificação completa no sistema, tenha certeza que o NAV está configurado para verificar todos os arquivos.
  3. Apague qualquer arquivo detectado como W32.Badtrans.13312@mm. O que você deve fazer a seguir depende se o NAV foi capaz de apagar os arquivos que ele detectou como infectados com o W32.Badtrans.13312@mm:
    • o Se o NAV conseguiu apagar todos os arquivos que ele detectou como infectados, faça uma das seguintes coisas:
      • Se você está usando o Windows 95/98/Me, vá para a seção Para editar o arquivo Win.ini.
      • § Se você está usando o Windows NT/2000, e o NAV conseguiu apagar todos os arquivos infectados, não será necessário fazer mais nada.
    • o Se o NAV não conseguiu apagar todos os arquivos que ele detectou como infectado, vá para a próxima seção e veja as instruções para o seu sistema operacional.

Como remover os arquivos que não foram apagados pelo NAV

Siga as instruções para o seu sistema operacional apenas se o NAV não conseguir apagar arquivos que ele detectou como infectados, W32.Badtrans.13312@mm.

  • Windows 95/98/Me:
    1. Reinicie o computador no modo de Segurança. Para instruções sobre como reiniciar no modo de Segurança, veja o documento Como reiniciar o Windows 9x ou Windows Me no Modo de Segurança. (em inglês)
    2. Execute a novamente verificação e apague qualquer arquivo detectado como W32.Badtrans.13312@mm.
    3. Quando a verificação terminar, vá para a seção Para editar o arquivo Win.ini.


  • Windows NT com FAT32/FAT16:
    1. Reinicie o computador no Modo de Segurança. Para instruções sobre como reiniciar no modo de Segurança, veja o documento Como reiniciar o Windows 2000 no Modo de Segurança.
    2. Execute a novamente verificação e apague qualquer arquivo detectado como W32.Badtrans.13312@mm.
    3. Reinicie o computador para completar o procedimento de remoção.


  • Windows NT/2000 com NTFS:
    A remoção no Windows NT/2000 com NTFS é um pouco mais complexa, pois primeiro você deve editar o registro.

    CUIDADO: Nós recomendamos veementemente que você faça um back up do registro do sistema antes de fazer qualquer mudança. Alterações incorretas no registro podem resultar na perda permanente de dados ou em arquivos corrompidos. Por favor, tenha certeza de apenas modificar as chaves especificadas.

    Por favor, veja o documento Como fazer back up do registro do Windows (em inglês) antes de prosseguir. Este documento está disponível pelo serviço de fax automático da Symantec. Nos EUA e Canadá, ligue para (541) 984-2490, selecione a opção 2, e então solicite o documento 927002.
    1. Clique Iniciar, e então clique em Executar. A caixa de diálogo Executar é exibida.
    2. Digite regedit e então clique em OK. O Editor de Registro é aberto.
    3. Navegue até a seguinte sub-chave:
      HKEY_LOCAL_MACHINE\Software\Microsoft\
      Windows\CurrentVersion\RunOnce
    4. No painel direito, apague o seguinte valor:
      Kernel32 KERN32.EXE
    5. Clique em Registro e então em Sair para salvar as mudanças.
    6. Abra novamente o Editor de Registros como descrito no item 2 e navegue até a seguinte sub-chave:
      HKEY_CURRENT_USER\Software\Microsoft\
      Windows NT\CurrentVersion\Windows
    7. No painel direito, apague o seguinte valor:
      run \Inetd.exe
    8. Saia do Editor de Registro para salvar as mudanças.
    9. Reinicie o computador.
    10. Execute novamente a verificação e apague qualquer arquivo detectado como W32.Badtrans.13312@mm. Isto completa o procedimento de remoção para os usuários do Windows NT/2000 com NTFS

Para editar o arquivo Win.ini:
Se você está executando o Windows 95/98/Me, você também deve fazer o seguinte:

  1. Clique Iniciar, e depois Executar.
  2. Digite o seguinte e clique em OK:
    edit c:\windows\win.ini
    NOTA: Se você instalou o Windows em um local diferente, faça as substituições apropriadas.
  3. Na seção [windows], localize a linha run=. Ela deve parecer com esta:
    run=c:\windows\inetd.exe
  4. Remova o texto à direita do sinal =, assim a linha deve ficar desta forma:
    run=
  5. Salve as mudanças e saia do Editor.

Atualização de: Peter Ferrie

Compartilhe esta informação com um amigo Compartilhe esta informação com um amigo