Mail-Wurm BadTrans: Bös gemeint, aber schlecht gemacht

Mit dem eingebauten Keylogger hat der BadTrans-Wurm das Potenzial, Passwörter, Kreditkartenummern und Ähnliches auszuspionieren. Doch die konkrete Gefahr, dass auf diesem Wege geheime Informationen den Rechner verlassen, ist zum Glück relativ gering.

Der Wurm überprüft im Sekundenabstand die Titelzeile des aktuellen Fensters. Nur wenn deren Inhalt mit den drei Buchstaben

LOG
PAS
REM
CON
TER
NET

beginnt, startet er die Aufzeichnungsfunktion und protokolliert für 60 Sekunden alle Tastatureingaben mit. Diese versendet er an eine E-Mail-Adresse aus einer eingebauten Liste.

In unseren Versuchen konnten wir auf einem deutschen Windows nur sehr wenige Situationen herbeiführen, in denen der Keylogger überhaupt ansprang. Weder bei den getesten Web-Mailern, noch bei Passport oder diversen Online-Banking-Seiten entspricht die Titelzeile den Buchstabenkombinationen. Auch Telnet- oder SSH-Verbindungen mit Putty registrierte BadTrans nicht. Eine der wenigen Ausnahmen war der Versuch, mit dem Internet Explorer passwortgeschützte Seiten abzurufen. Hier fragte der Internet Explorer: "Netzwerkkennwort eingeben" -- und aktiviert damit den Keylogger. Netscape, Mozilla und Opera verwenden andere Dialoge.

Wer sich nicht sicher ist, ob bei einer BadTrans-Infektion Passwörter seinen Rechner verlassen haben, sollte -- nach der Desinfektion -- alle kritischen Seiten nochmals aufrufen und die Titelzeile inspizieren. Doch auch wenn BadTrans Passwörter per Mail verschickt hat, bedeutet das noch nicht unbedingt den Super-GAU. Nach unseren Informationen sind mittlerweile die Mail-Konten, an die BadTrans die ausspionierten Daten versendet, gelöscht beziehungsweise gesperrt.

Hinweise speziell zum Schutz vor BadTrans bietet der Artikel Schutzmaßnahmen gegen den neuen E-Mail-Wurm "BadTrans"; weitere Hinweise zum generellen Schutz vor Viren und Würmern gibt es auf der Antiviren-Seite von c’t. (ju)