Der unsterbliche Badtrans.B

E-Mail-Wurm verbreitet sich explosionsartig im Internet

An diesem Montag entglitt mit Badtrans.B ein Wurm in die Weiten des Internets, der sich so stark verbreitete, wie man es bisher nicht kannte. Das berichten übereinstimmend alle namhaften Hersteller von Antiviren-Software, was sich mit den Erfahrungen von Golem.de deckt. Damit stellt der Wurm selbst die seinerzeit lawinenhafte Verbreitung vom SirCam-Wurm in den Schatten. Hauptgrund für die Badtrans-Epidemie sind im Wesentlichen nicht gestopfte Sicherheitslücken in Microsoft-Produkten.

Daher sind hier die Anwender aufgerufen, ihre Systeme mit allen aktuellen Patches und Fixes zu versehen, um der Epidemie Einhalt zu gebieten und sich so vor künftigen Infektionen zu schützen. Das für die Verbreitung von Badtrans.B ursächlich verantwortliche Sicherheitsloch im Internet Explorer lässt sich schon seit Ende März mit einem deutschsprachigen Patch stopfen. Wer auch sonst selten auf solche Updates achtet, dem sei dringend der regelmäßige Besuch von windowsupdate.microsoft empfohlen, um empfohlene Patches und Updates auf den Rechner zu laden.

Dieser Fehler im Internet Explorer sorgt dafür, dass bereits die Betrachtung einer E-Mail in Outlook oder Outlook Express den Mail-Anhang ausführt, so dass der Wurm aktiviert wird. Hier ist also nicht - wie bei SirCam - alleine der unbedarfte Umgang der Anwender mit Datei-Anhängen für die starke Verbreitung verantwortlich, sondern auch die mangelhaft abgesicherten Microsoft-Produkte in Verbindung mit der unzureichenden Sicherheitspflege seitens der Anwender. Natürlich aktiviert sich der Wurm nicht nur über die Microsoft-Mailer, sondern wird auch aktiv, wenn der Mail-Anhang leichtsinnigerweise in einem anderen Programm geöffnet wird.

Wenn Badtrans.B im System aktiviert wurde, versendet er sich an die E-Mail-Adressen, die er im Cache des Internet Explorer findet, was für die ungeheuer starke Verbreitung in den letzten paar Tagen gesorgt hat. Dass der Wurm auch ungelesene E-Mails mit entsprechenden Infektions-Mails beantwortet, fällt da kaum noch ins Gewicht, wie die im Vergleich recht harmlose Verbreitung des ersten Badtrans-Wurms belegt.

Bedingt durch die Sicherheitslücke dürfte vielen Anwendern gar nicht klar sein, dass ihr System infiziert ist. Seit Mitte der Woche bietet das Bukarester Unternehmen BitDefender ein kostenloses Tool namens "AntiBadtrans.B" an, um seinen Rechner nach Badtrans.B zu durchsuchen und den Wurm zu entfernen. Das englischsprachige Tool verlangt keinerlei Installation, sondern kann direkt nach dem Download gestartet werden. Die Bedienung des Programms ist selbsterklärend, so dass die Wurmvernichtung leicht durchzuführen ist.

Wer sich nicht sicher ist, ob sein System von Badtrans.B befallen wurde, sollte seinen Rechner vorsorglich von "AntiBadtrans.B" durchsuchen lassen. Denn neben der massenhaften Versendung enthält der Wurm auch einen Trojaner, der die Eingabe von Passwörtern, Kreditkartendaten, PIN-Nummern und Ähnlichem protokolliert, um diese an eine bestimmte E-Mail-Adresse weiterzuleiten. Damit besteht die Gefahr, dass vertrauliche Daten in fremde Hände gelangen und missbräuchlich verwendet werden.

Den E-Mail-Wurm erkennt man nur recht schwer, da er auch auf eingegangene E-Mails reagiert und so wie eine normale Antwort-Mail aussieht. So behält der Wurm den Betreff bei und fügt lediglich das typische "Re:" an den Anfang der Zeile. Außerdem zitiert er die Original-Mail und setzt den recht unverfänglichen Text "Take a look to the attachment." als Antwort unter das Zitat. Wenn der Wurm Adressen aus dem Internet-Cache verwendet, besteht die Betreffzeile nur aus einem "Re:" und einem leeren Nachrichtentext. Der eigentliche Wurm steckt im Dateianhang, der aber zahlreiche Namen trägt und daher nicht ohne weiteres erkannt werden kann.