ATTENZIONE! Virus BadTrans in rapida diffusione in Italia

Un nuovo virus worm, denominato I-Worm.BadtransII si sta rapidamente diffondendo a macchia d’olio anche nel nostro Paese.
La sua velocissima diffusione è suffragata dall’imponente numero di e-mail contenenti il codice virale che riceviamo da qualche giorno.
Il worm può contare sul fatto che alcuni software antivirus non sono stati aggiornati per riconoscere il virus.
Il nostro consiglio è quindi quello di provvedere all’immediato aggiornamento dell’antivirus.
I-Worm.BadtransII è un virus worm che, al solito, si propaga come normale allegato alla posta elettronica. Il Badtrans è costituito da due parti: il worm e il cavallo di Troia. La parte “worm” ha il compito di inviare delle e-mail infette, mentre il trojan invia a uno specifico indirizzo e-mail informazioni riservate presenti sul computer infettato (informazioni sull’utente, dati RSA, cached password, log dei tasti premuti). Tra l’altro, il cavallo di Troia contiene anche un programma utile all’intercettazione dei tasti premuti, che viene installato sul sistema infetto. Badtrans rappresenta quindi anche un serio pericolo per la sicurezza del proprio personal computer e per i dati in esso memorizzati.
Il file infetto può essere eseguito i due modi: se l’utente clicca esplicitamente con il mouse su un allegato infetto oppure se il sistema presenta la vulnerabilità IFRAME, sfruttata dal worm per venire eseguito in automatico quando si effettua l’anteprima o lettura del messaggio infetto con Outlook Express. Il virus può contare sul fatto che molti utenti non hanno applicato la patch di sicurezza prelevabile da questa pagina. Per maggiori informazioni sulla patch fate clic qui.
Un’altra caratteristica cruciale di BadTrans è che questo utilizza, per inviare i messaggi infetti, una connessione diretta ad un server SMTP (Simple Mail Transfer Protocol), evitando di impiegare come tramite un client di posta elettronica.
L’e-mail infetta col virus può giungere da un mittente reale o da uno “fasullo”.
La variante del virus che si è diffusa rapidamente a partire dal 24 Novembre 2001, si installa nella cartella di sistema di Windows usando il nome KERNEL32.EXE e crea la seguente chiave nel registro di sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce Kernel32 = kernel32.exe
La libreria DLL che “registra” tutti i tasti premuti da parte dell’utente si chiama KDLL.DLL e invia le informazioni all’indirizzo “uckyjw@hotmail.com”. Il log creato durante la pressione dei tasti da parte dell’utente viene memorizzato nella cartella di sistema di Windows con il nome CP_25389.NLS. Anche effettuando una ricerca per i nomi dei file qui indicati potete verificare se siete stati colpiti da questa variante del virus.