Virus W32/Badtrans.B

%2/(7,1'($/(57$$17,9,586
(GLFLyQ1ž
GH1RYLHPEUH
ZZZLQHLJRESH
&217(1,'2
9LUXV
:%$'75$16%
)XHQWHV
=DS$QWLYLUXV
3DQGD6RIWZDUH
3HU6\VWHP
+DFNVRIW
,1)250$&,21 '( 9,586 ,1)250$7,&26
(O ,QVWLWXWR 1DFLRQDO GH (VWDGtVWLFD H
,QIRUPiWLFD
SUHVHQWD
HQ
HVWD
RSRUWXQLGDG HO %ROHWtQ ,1(, ±
6,67(0$ '( $/(57$ 1UR HQ
HVWD SXEOLFDFLyQ GDPRV D FRQRFHU OD
LQIRUPDFLyQ
GHO
QXHYR
YLUXV
:%DGWUDQV%
Las grandes compañías desarrolladoras
de antivirus ya han actualizado sus
definiciones para detectar estos nuevos
virus. A continuación se presenta
información detallada respecto a éste
virus.
9LUXV :%DGWUDQV%
&DUDFWHUtVWLFDV
(VWHHVXQYLUXVTXHVHSURSDJDYtDFRUUHRHOHFWUyQLFRFRPRXQDUFKLYRDGMXQWRR
LQFOXLGRHQXQPHQVDMHGHFRUUHR'LFKRDUFKLYRSXHGHWHQHUGLVWLQWRVQRPEUHVHO
QRPEUH GHO DUFKLYR DGMXQWR VH FRPSRQH DOHDWRULDPHQWH D SDUWLU GH WUHV OLVWDV FRQ
GLVWLQWRVQRPEUHV
$OLDV
,:RUP%DGWUDQV%:LQ%DGWUDQV%#PP\:%DGWUDQV#PP
:%DGWUDQVJHQ#00:%DGWUDQV#PP,:RUP%DGWUDQV
%DFNGRRU1.VYU:%DGWUDQV%#PP:%DGWUDQV%
:%DGWUDQV#PP
0pWRGRV GH ,QIHFFLyQ
(O YLUXV OOHJD HQ XQ DUFKLYR DGMXQWR DO FRUUHR HOHFWUyQLFR WLHQH ODV VLJXLHQWHV
FDUDFWHUtVWLFDV
$UFKLYRDGMXQWR
3ULPHUDH[WHQVLyQGHO'RFXPHQWRDGMXQWRSXHGHVHUGRFR]LSR03
6HJXQGDH[WHQVLyQGHO'RFXPHQWRDGMXQWRSXHGHVHUVFURSLI
3RUHMHPSOR
‰ 0HBQXGH]LSVFU
‰ 5($'0(03SLI
‰ VWXII]LSSLI
&XHUSRYDFtR
(IHFWRV GH ,QIHFFLyQ
Cuando se ejecuta el archivo adjunto o incluido en el mensaje de correo,
W32/Badtrans.B produce su infección. Una vez que el virus se ha activado crea una
copia en el directorio Windows/System con el siguiente nombre:
KERNEL32.EXE.
9LVLWHHO3RUWDOGHO(VWDGR3HUXDQR
KWWSZZZSHUXJRELHUQRJRESH
%2/(7,1'($/(57$$17,9,586
Instala un troyano (Los troyanos también
denominados caballos de Troya no se pueden
considerar virus ya que no se replican o no hacen
copias de sí mismos. Pueden llegar acompañados
de otros programas y se instalan en nuestro
ordenador, intentando permanecer instalados en
él. Al activarse puede abrir huecos en nuestro
sistema, a través de los cuales se producen
intrusiones y/o ataques.) en el directorio del
sistema de Windows (archivo KDLL.DLL),
diseñado para obtener información confidencial
de la computadora infectada.
'HVLQIHFFLyQ 0DQXDO
x
x
x
x
x
x
x
x
x
Para desinfectar la computadora de forma
manual, siga las siguientes instrucciones:
1. Ejecute un antivirus actualizado.
2. Pulse en Inicio y seleccione Buscar archivos
o carpetas.
3. Seleccione la unidad C: y marque el check
Incluir subcarpetas.
4. Dentro de la sección Nombre, escriba el
nombre del archivo (CP_25389.NLS)
5. Entonces, pulse el botón Buscar ahora.
6. Si se encuentra este archivo selecciónelo y
pulse la tecla DEL o SUPR para eliminarlo.
7. Acceda a la papelera de reciclaje. Pulse
sobre ella con el botón derecho del ratón y
seleccione la opción Vaciar la papelera de
reciclaje.
En el Registro de Windows, elimine la
entrada que el virus ha creado. Para
conseguirlo, debe seguir los siguientes
pasos:
x
x
x
Pulse el botón Inicio de Windows.
Seleccione la opción Ejecutar.
Escriba lo siguiente: REGEDIT y pulse
el botón Aceptar
Pulse sobre el signo + de la carpeta
HKEY_LOCAL_MACHINE.
Pulse sobre el signo + de la subcarpeta
Software.
Pulse sobre el signo + de la subcarpeta
Microsoft.
Pulse sobre el signo + de la subcarpeta
Windows.
Pulse sobre el signo + de la subcarpeta
CurrentVersion.
Pulse sobre el signo + de la subcarpeta
RunOnce.
Seleccione la subcarpeta "RunOnce".
Si aparece el nombre Kernel32 en el
panel de la derecha elimínelo. Para ello,
selecciónelo y pulse la tecla DEL o
SUPR. Conteste afirmativamente a la
pregunta que le pedirá la confirmación
para eliminar la clave.
Seleccione la opción Salir del menú
Registro para salir del registro de
Windows y confirmar los cambios.
A continuación reinicie la computadora (Inicio Apagar el sistema - Reiniciar). En este momento
debe analizar la computadora con un antivirus
actualizado y borrar todos los archivos que se
detecten como infectados por W32/Badtrans.B o
sus variantes. Los archivos a eliminar en este
caso son los siguientes: KDLL.DLL y
KERNEL32.EXE
‰ 6HDGMXQWDXQDOLVWDGHSiJLQDVZHEGRQGHHOXVXDULRSXHGHDFWXDOL]DUHODQWLYLUXV
$QWLYLUDO7RRONLW3UR$93
KWWSZZZNDVSHUVN\UX
$9$67\$9$67
KWWSZZZDQWLYLUFRPVXSSRUWKWP
'U6RORPRQ
V$97.
KWWSZZZGUVRORPRQFRPGRZQORDGLQGH[F
IP
,%0$QWLYLUXV
KWWSZZZV\PDQWHFFRPDYFHQWHULEPLQG
H[KWPO
1RUWRQ$QWLYLUXV1$9
KWWSZZZVDUFFRPDYFHQWHUGRZQORDGKWP
O
3F&LOOLQ
KWWSZZZDQWLYLUXVFRPGRZQORDGSDWWHUQ
KWP
7KH+DFNHU
KWWSZZZKDFNVRIWFRPSH
(6DIH
KWWSZZZHVDIHFRPGRZQORDGYLUXVLJKWPO
,QRFXODWH,7
KWWSVXSSRUWFDLFRP'RZQORDGYLUXVVLJKW
PO
3HU$QWLYLUXV
KWWSZZZSHUV\VWHPVQHW
48,&.+($/
KWWSZZZTXLFNKHDOFRPXSGDWHKWP
7KXQGHU%\WH$QWL9LUXV7%$9
KWWSZZZVKDUNQOXNGRZQORDGXNKWPO
$9*
KWWSZZZJULVRIWFRPKWPOXVBXSGWFI
P
)3URW
KWWSZZZFRPPDQGFRPFRPKWPOILOHV
KWPO
0F$IHH9LUXV6FDQ
KWWSGRZQORDGPFDIHHFRPXSGDWHVXS
GDWHVDVS
3DQGD$QWLYLUXV
KWWSZZZSDQGDVRIWZDUHHV
6RSKRV$QWLYLUXV
KWWSZZZXVVRSKRVFRPGRZQORDGVLGH
=DS$QWLYLUXV
KWWSZZZ]DSDQWLYLUXVFRP
9LVLWHHO3RUWDOGHO(VWDGR3HUXDQR
KWWSZZZSHUXJRELHUQRJRESH
%2/(7,1'($/(57$$17,9,586
6L GHVHD UHFLELU QXHVWUR EROHWtQ LQIRUPDWLYR VXVFULEDVH D QXHVWUR FRUUHR
&&,6,#LQHLJRESH
3DUWLFLSH HQ HO )RUR 7HFQROyJLFR HQ ZZZLQHLJRESH VX RSLQLyQ HV LPSRUWDQWH SDUD
QRVRWURV
(ODERUDGR SRU 6XE -HIDWXUD GH ,QIRUPiWLFD '7', ,1(,
9LVLWHHO3RUWDOGHO(VWDGR3HUXDQR
KWWSZZZSHUXJRELHUQRJRESH