Schutzmaßnahmen gegen den neuen E-Mail-Wurm "BadTrans"

Der E-Mail-Wurm "Bad Trans" installiert Backdoor und Key-Logger auf befallenen Rechnern.

In Pocket speichern vorlesen Druckansicht 357 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Lars Bremer

Verschiedene Hersteller von Anti-Viren-Programmen warnen vor mehreren Varianten des E-Mail-Wurms BadTrans. Im Text der HTML-Mail kann "Take a look to the attachment" stehen, das Subject ist leer oder enthält "Re:" und die Bezeichnung des Anhangs besteht neben einem interessant klingenden Dateinamen aus der Extension ".doc", ".mp3" oder ".zip" sowie der Endung ".pif" oder ".scr". Mögliche Dateinamen könnten "YOU_are_FAT!.TXT.pif", "New_Napster_Site.DOC.scr" oder ähnliche sein. Auf ungepatchten Systemen nutzt der Wurm auch die IFRAME-Sicherheitslücke.

Beim Ausführen des Attachments durch unvorsichtige Benutzer erscheint eine Dialogbox "Install error" mit dem Inhalt "File data corrupt: probably due to a bad data transmission or bad disk access". Der Wurm kopiert sich selbst als "INETD.EXE" ins Windows-Verzeichnis, installiert eine Backdoor als "KERN32.EXE", "Kernel32.exe" oder "Kernel.exe" und den Key-Logger PWS-AV als "HKSDLL.DLL" oder "KDLL.DLL" im System-Ordner und sorgt über Einträge in der Win.ini und in der Registry für die automatische Ausführung derselben beim Systemstart.

BadTrans verschickt sich dann an Absender unbeantworteter E-Mails aus dem Outlook-Verzeichnis und soll die IP-Adresse des befallenen Rechners an den Autor übermitteln, der dann über die Backdoor Zugriff auf persönliche Daten und über den Key-Logger auch auf Passworte erlangen könnte.

Die neuesten Signatur-Dateien der gängigen Virenscanner können den Schädling aufspüren und vernichten.Weitere Hinweise zu Viren und Würmern gibt es auf der c’t-Antivirenseite. Zur manuellen Entfernung kann man die genannten Dateien unter MS-DOS löschen und danach die Einträge HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\kernel32=kern32.exe sowie HKEY_USERS\Software\Microsoft\Windows NT\CurrentVersion\Windows\RUN=%WinDir%\INETD.EXE in der Registry und gegebenenfalls der Win.ini entfernen. Einfacher ist es freilich, gar nicht erst derartige Attachments auszuführen. (lab)