• IT-Karriere:
  • Services:

Wiedergeburt des Badtrans-Wurms (Update)

Badtrans-Wurm schleust Trojaner ins System ein und nutzt Sicherheitsloch

Zahlreiche Hersteller von Antiviren-Software warnen vor einer neuen Variante des im April aufgetauchten Wurms "Badtrans", der sich zurzeit sehr stark verbreitet. Der Wurm hört auf den Namen W32.Badtrans.B@mm, beantwortet alle ungelesenen Nachrichten im E-Mail-Postfach und durchforstet den Internet-Cache nach E-Mail-Adressen, was zu einer Mail-Lawine führt. Außerdem schleust er einen Trojaner ins Windows-System ein, der nach Kennwörtern und vertraulichen Daten fahndet.

Artikel veröffentlicht am ,

Die Wurm-Komponente von Badtrans befällt das System und nutzt dazu eine Sicherheitslücke im Internet Explorer in Zusammenhang mit Outlook und Outlook Express, die dafür sorgt, dass der Mail-Anhang automatisch beim Betrachten der E-Mail ausgeführt wird. Microsoft bietet seit Ende März einen deutschsprachigen Patch an, um das Problem zu beheben. Alle Anwender von Outlook und Outlook Express sollten diesen Patch schleunigst aufspielen. Auf anderen E-Mail-Clients wird der Wurm erst aktiv, wenn der Anhang geöffnet wird.

Stellenmarkt
  1. GKV-Spitzenverband, Berlin
  2. Rödl Global Digital Services GmbH, Nürnberg

Die neue Variante von Badtrans verbreitet sich nicht nur, indem es auf unbeantwortete E-Mails im Eingangsordner reagiert, sondern scannt - wie etwa der SirCam-Wurm - auch den Cache des Internet Explorer nach gültigen E-Mail-Adressen und versendet sich an diese. Das führt zu der epidemiehaften Ausbreitung, die man erstmals mit SirCam erlebt hatte. Nach Recherchen von Golem.de verändert der Wurm ab und an auch die Absender-Adresse, indem es einen "_" vor die E-Mail setzt.

Darüber hinaus nistet Badtrans einen Trojaner ins System ein, der Informationen wie etwa Tastendrücke sammelt und diese an eine bestimmte E-Mail-Adresse weiterleitet. Wurde der Wurm durch Aktivierung des Dateianhangs gestartet, nistet sich dieser im Windows-Verzeichnis ein und legt sich dort unter dem Dateinamen INETD.EXE ab. Auch die (noch nicht installierte) Trojaner-Komponente findet sich hier und trägt zunächst den Namen HKK32.EXE. Nach der Installation kann man den Trojaner anhand der Dateien KERN32.EXE und HKSDLL.DLL identifizieren, die sich im Windows-Systemverzeichnis finden.

Den E-Mail-Wurm erkennt man nur recht schwer, da er auch auf eingegangene E-Mails reagiert und so wie eine normale Antwort-Mail aussieht. So behält der Wurm den Betreff bei und fügt lediglich das typische "Re:" an den Anfang der Zeile. Außerdem zitiert er die Original-Mail und setzt den recht unverfänglichen Text "Take a look to the attachment." als Antwort unter das Zitat. Wenn der Wurm Adressen aus dem Internet-Cache verwendet, steht nur ein "Re:" in der Betreffzeile und der Nachrichtentext bleibt leer. Auch am Dateianhang selbst lässt sich der Wurm nicht ausmachen, denn er pickt sich hier zufällig einen Dateinamen von über zehn möglichen Namen heraus, die allesamt doppelte Dateiendungen tragen und entweder auf SCR oder PIF enden.

Alle Hersteller von Antiviren-Software bieten mittlerweile aktuelle Signatur-Dateien für ihre Programme an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Gigabyte GeForce RTX 3070 Gaming OC für 819€, EVGA GeForce RTX 3080 FTW3 ULTRA GAMING...
  2. (u. a. Crusader Kings 3 für 22,99€, Cyberpunk 2077 für 33,99€)
  3. (u. a. LG OLED65CX9LA für 1.999€, Panasonic TX-50HXW584 für 449€)
  4. 72,90€ (Bestpreis)

Widi 07. Feb 2002

Ich habe meinen PC inzwischen bereinigt (mein Anti-Virus-Programm findet den Wurm nicht...

kjdbvkhg 20. Jan 2002

melde auch: gestern den badtrans bekommen und erfolgreich weiter geschickt :-(

coolnes 17. Jan 2002

habe heute diesen virus auch erhalten aber er wurde vom system erkannt. das heisst er ist...

coolnes 17. Jan 2002

habe heute diesen virus auch erhalten aber er wurde vom system erkannt. das heisst er ist...

Helmut 04. Jan 2002

Auf meinem Rechner ist er auch gelandet, konnte aber, dank Netscape Messanger, keinen...


Folgen Sie uns
       


VW ID.3 Probe gefahren

Wir sind einen Tag lang mit dem ID.3 in und um Berlin herum gefahren.

VW ID.3 Probe gefahren Video aufrufen
CPU und GPU vereint: Wie die Fusion zu AMDs Zukunft wurde
CPU und GPU vereint
Wie die Fusion zu AMDs Zukunft wurde

Mit Lauchgemüse und Katzen-Kernen zu Playstation und Xbox: Wir blicken auf ein Jahrzehnt an Accelerated Processing Units (APUs) zurück.
Ein Bericht von Marc Sauter


    Quereinsteiger: Mit dem Master in die IT
    Quereinsteiger
    Mit dem Master in die IT

    Bachelorabsolventen von Fachhochschulen gehen überwiegend sofort in den Job. Einen Master machen sie später und dann gerne in IT. Studienangebote für Quereinsteiger gibt es immer mehr.
    Ein Bericht von Peter Ilg

    1. IT-Arbeit Es geht auch ohne Chefs
    2. 42 Wolfsburg Programmieren lernen ohne Abi, Lehrer und Gebühren
    3. Betriebsräte in der Tech-Branche Freunde sein reicht manchmal nicht

    Facebook: Whatsapp stellt Nutzern ein Ultimatum
    Facebook
    Whatsapp stellt Nutzern ein Ultimatum

    Nutzer, die den neuen Geschäftsbedingungen und der neuen Datenschutzerklärung nicht bis zum 8. Februar zustimmen, können Whatsapp nicht weiter verwenden.

    1. Facebook Whatsapp verschiebt Einführung der neuen Datenschutzregeln
    2. Watchchat Whatsapp mit der Apple Watch bedienen
    3. Strafverfolgung BKA liest Nachrichten per Whatsapp-Synchronisation mit

      •  /