[ Avise um amigo ] sobre este assunto

O "W32.Badtrans.B@mm" é um worm que, devido às facilidades de disseminação da rede e às falhas nos softwares da Microsoft, está disseminado-se rapidamente. Juan Carlos Cuartango (http://www.kriptopolis.com) descobriu que cabeçalhos ("headers") incorretos em formato MIME permitem, no software Outlook, a execução de anexos de e-mail sem solicitar a intervenção do usuário ( http://www.microsoft.com/technet/security/bulletin/MS01-020.asp ). É desta forma que o Badtrans infectou milhares de computador no mundo todo, através de e-mails que, invariavelmente, contém anexado um arquivo que possui duas extensões: a primeira pode ser ".doc", ".mp3" ou ".zip", e a segunda, ".pif" ou ".scr".

Apesar de não prejudicar os dados do computador hospedeiro, o Badtrans -após instalar-se com sucesso- monitora, uma vez a cada segundo, a janela corrente, e se a mesma contiver certas palavras chaves ("LOGon", "PASsword", "REMote", etc.) intercepta os caracteres digitados, gravando-os em um arquivo de log que é enviado a cada 30 segundos a um conjunto de endereços de e-mails pré-estabelecidos.

Como eliminar manualmente o Badtrans

1) Apague o arquivo \Windows\System\cp_25389.nls.

2) Execute Regedit.exe para acessar ao Registro do Windows (Comezar, Executar, regedit).

3) Procure a chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce e elimine o valor "Kernel32 kernel32.exe". Procure também e apague todos os valores de chave que fazem referência a qualquer um dos arquivos contaminados.

4) Reinicie o computador

Nota: o site Virus Attack manda apagar os arquivos \Windows\System\Kernel32.exe e \Windows\System\kdll.dll. As instruções no site da Symantec não fazem qualquer referência a estes arquivos.

Leia (em inglês), no site da Symantec, maiores informações sobre o assunto