Wiedergeburt des Badtrans-Wurms (Update)

Badtrans-Wurm schleust Trojaner ins System ein und nutzt Sicherheitsloch

Zahlreiche Hersteller von Antiviren-Software warnen vor einer neuen Variante des im April aufgetauchten Wurms "Badtrans", der sich zurzeit sehr stark verbreitet. Der Wurm hört auf den Namen W32.Badtrans.B@mm, beantwortet alle ungelesenen Nachrichten im E-Mail-Postfach und durchforstet den Internet-Cache nach E-Mail-Adressen, was zu einer Mail-Lawine führt. Außerdem schleust er einen Trojaner ins Windows-System ein, der nach Kennwörtern und vertraulichen Daten fahndet.

Die Wurm-Komponente von Badtrans befällt das System und nutzt dazu eine Sicherheitslücke im Internet Explorer in Zusammenhang mit Outlook und Outlook Express, die dafür sorgt, dass der Mail-Anhang automatisch beim Betrachten der E-Mail ausgeführt wird. Microsoft bietet seit Ende März einen deutschsprachigen Patch an, um das Problem zu beheben. Alle Anwender von Outlook und Outlook Express sollten diesen Patch schleunigst aufspielen. Auf anderen E-Mail-Clients wird der Wurm erst aktiv, wenn der Anhang geöffnet wird.

Die neue Variante von Badtrans verbreitet sich nicht nur, indem es auf unbeantwortete E-Mails im Eingangsordner reagiert, sondern scannt - wie etwa der SirCam-Wurm - auch den Cache des Internet Explorer nach gültigen E-Mail-Adressen und versendet sich an diese. Das führt zu der epidemiehaften Ausbreitung, die man erstmals mit SirCam erlebt hatte. Nach Recherchen von Golem.de verändert der Wurm ab und an auch die Absender-Adresse, indem es einen "_" vor die E-Mail setzt.

Darüber hinaus nistet Badtrans einen Trojaner ins System ein, der Informationen wie etwa Tastendrücke sammelt und diese an eine bestimmte E-Mail-Adresse weiterleitet. Wurde der Wurm durch Aktivierung des Dateianhangs gestartet, nistet sich dieser im Windows-Verzeichnis ein und legt sich dort unter dem Dateinamen INETD.EXE ab. Auch die (noch nicht installierte) Trojaner-Komponente findet sich hier und trägt zunächst den Namen HKK32.EXE. Nach der Installation kann man den Trojaner anhand der Dateien KERN32.EXE und HKSDLL.DLL identifizieren, die sich im Windows-Systemverzeichnis finden.

Den E-Mail-Wurm erkennt man nur recht schwer, da er auch auf eingegangene E-Mails reagiert und so wie eine normale Antwort-Mail aussieht. So behält der Wurm den Betreff bei und fügt lediglich das typische "Re:" an den Anfang der Zeile. Außerdem zitiert er die Original-Mail und setzt den recht unverfänglichen Text "Take a look to the attachment." als Antwort unter das Zitat. Wenn der Wurm Adressen aus dem Internet-Cache verwendet, steht nur ein "Re:" in der Betreffzeile und der Nachrichtentext bleibt leer. Auch am Dateianhang selbst lässt sich der Wurm nicht ausmachen, denn er pickt sich hier zufällig einen Dateinamen von über zehn möglichen Namen heraus, die allesamt doppelte Dateiendungen tragen und entweder auf SCR oder PIF enden.

Alle Hersteller von Antiviren-Software bieten mittlerweile aktuelle Signatur-Dateien für ihre Programme an.