Wiedergeburt des Badtrans-Wurms (Update)

Badtrans-Wurm schleust Trojaner ins System ein und nutzt Sicherheitsloch

Zahlreiche Hersteller von Antiviren-Software warnen vor einer neuen Variante des im April aufgetauchten Wurms "Badtrans", der sich zurzeit sehr stark verbreitet. Der Wurm hört auf den Namen W32.Badtrans.B@mm, beantwortet alle ungelesenen Nachrichten im E-Mail-Postfach und durchforstet den Internet-Cache nach E-Mail-Adressen, was zu einer Mail-Lawine führt. Außerdem schleust er einen Trojaner ins Windows-System ein, der nach Kennwörtern und vertraulichen Daten fahndet.

Artikel veröffentlicht am ,

Die Wurm-Komponente von Badtrans befällt das System und nutzt dazu eine Sicherheitslücke im Internet Explorer in Zusammenhang mit Outlook und Outlook Express, die dafür sorgt, dass der Mail-Anhang automatisch beim Betrachten der E-Mail ausgeführt wird. Microsoft bietet seit Ende März einen deutschsprachigen Patch an, um das Problem zu beheben. Alle Anwender von Outlook und Outlook Express sollten diesen Patch schleunigst aufspielen. Auf anderen E-Mail-Clients wird der Wurm erst aktiv, wenn der Anhang geöffnet wird.

Stellenmarkt
  1. Technischer Redakteur (m/w/d)
    Schweickert GmbH, Walldorf
  2. Administrator Security-Operations (m/w/d)
    Universitätsklinikum Regensburg, Regensburg
Detailsuche

Die neue Variante von Badtrans verbreitet sich nicht nur, indem es auf unbeantwortete E-Mails im Eingangsordner reagiert, sondern scannt - wie etwa der SirCam-Wurm - auch den Cache des Internet Explorer nach gültigen E-Mail-Adressen und versendet sich an diese. Das führt zu der epidemiehaften Ausbreitung, die man erstmals mit SirCam erlebt hatte. Nach Recherchen von Golem.de verändert der Wurm ab und an auch die Absender-Adresse, indem es einen "_" vor die E-Mail setzt.

Darüber hinaus nistet Badtrans einen Trojaner ins System ein, der Informationen wie etwa Tastendrücke sammelt und diese an eine bestimmte E-Mail-Adresse weiterleitet. Wurde der Wurm durch Aktivierung des Dateianhangs gestartet, nistet sich dieser im Windows-Verzeichnis ein und legt sich dort unter dem Dateinamen INETD.EXE ab. Auch die (noch nicht installierte) Trojaner-Komponente findet sich hier und trägt zunächst den Namen HKK32.EXE. Nach der Installation kann man den Trojaner anhand der Dateien KERN32.EXE und HKSDLL.DLL identifizieren, die sich im Windows-Systemverzeichnis finden.

Den E-Mail-Wurm erkennt man nur recht schwer, da er auch auf eingegangene E-Mails reagiert und so wie eine normale Antwort-Mail aussieht. So behält der Wurm den Betreff bei und fügt lediglich das typische "Re:" an den Anfang der Zeile. Außerdem zitiert er die Original-Mail und setzt den recht unverfänglichen Text "Take a look to the attachment." als Antwort unter das Zitat. Wenn der Wurm Adressen aus dem Internet-Cache verwendet, steht nur ein "Re:" in der Betreffzeile und der Nachrichtentext bleibt leer. Auch am Dateianhang selbst lässt sich der Wurm nicht ausmachen, denn er pickt sich hier zufällig einen Dateinamen von über zehn möglichen Namen heraus, die allesamt doppelte Dateiendungen tragen und entweder auf SCR oder PIF enden.

Alle Hersteller von Antiviren-Software bieten mittlerweile aktuelle Signatur-Dateien für ihre Programme an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
DSGVO
Amazon bekommt 746 Millionen Euro Datenschutz-Strafe

Die Strafe gegen Amazon ist die wohl größte jemals von einer europäischen Datenschutzbehörde verhängte Summe. Die Kläger freuen sich.

DSGVO: Amazon bekommt 746 Millionen Euro Datenschutz-Strafe
Artikel
  1. Blue Origin: Bezos-Beschwerde zu Mondlandefähre abgelehnt
    Blue Origin
    Bezos-Beschwerde zu Mondlandefähre abgelehnt

    Damit Blue Origin doch noch den Auftrag für eine Mondlandefähre bekommt, hat Jeff Bezos Geld geboten und sich offiziell beschwert. Es half nichts.

  2. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  3. Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
    Luftsicherheit
    Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

    Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

Widi 07. Feb 2002

Ich habe meinen PC inzwischen bereinigt (mein Anti-Virus-Programm findet den Wurm nicht...

kjdbvkhg 20. Jan 2002

melde auch: gestern den badtrans bekommen und erfolgreich weiter geschickt :-(

coolnes 17. Jan 2002

habe heute diesen virus auch erhalten aber er wurde vom system erkannt. das heisst er ist...

coolnes 17. Jan 2002

habe heute diesen virus auch erhalten aber er wurde vom system erkannt. das heisst er ist...

Helmut 04. Jan 2002

Auf meinem Rechner ist er auch gelandet, konnte aber, dank Netscape Messanger, keinen...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Viewsonic XG270QG (WQHD, 165 Hz) 549,99€ • Mega-Marken-Sparen bei MediaMarkt (u. a. Razer) • Saturn: 1 Produkt zahlen, 2 erhalten • Gigabyte X570 AORUS Master 278,98€ + 30€ Cashback • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • MMOGA (u. a. Fallout 4 GOTY 9,99€) [Werbung]
    •  /