Wiedergeburt des Badtrans-Wurms (Update)

Badtrans-Wurm schleust Trojaner ins System ein und nutzt Sicherheitsloch

Zahlreiche Hersteller von Antiviren-Software warnen vor einer neuen Variante des im April aufgetauchten Wurms "Badtrans", der sich zurzeit sehr stark verbreitet. Der Wurm hört auf den Namen W32.Badtrans.B@mm, beantwortet alle ungelesenen Nachrichten im E-Mail-Postfach und durchforstet den Internet-Cache nach E-Mail-Adressen, was zu einer Mail-Lawine führt. Außerdem schleust er einen Trojaner ins Windows-System ein, der nach Kennwörtern und vertraulichen Daten fahndet.

Artikel veröffentlicht am ,

Die Wurm-Komponente von Badtrans befällt das System und nutzt dazu eine Sicherheitslücke im Internet Explorer in Zusammenhang mit Outlook und Outlook Express, die dafür sorgt, dass der Mail-Anhang automatisch beim Betrachten der E-Mail ausgeführt wird. Microsoft bietet seit Ende März einen deutschsprachigen Patch an, um das Problem zu beheben. Alle Anwender von Outlook und Outlook Express sollten diesen Patch schleunigst aufspielen. Auf anderen E-Mail-Clients wird der Wurm erst aktiv, wenn der Anhang geöffnet wird.

Stellenmarkt
  1. Informatiker*in als Fachbereichsleitung IT-Netzwerk (w/m/d)
    Helmholtz-Zentrum Berlin für Materialien und Energie GmbH, Berlin
  2. IT Consultant - Technical Presales (w/m/d)
    DTS Systeme GmbH, verschiedene Standorte
Detailsuche

Die neue Variante von Badtrans verbreitet sich nicht nur, indem es auf unbeantwortete E-Mails im Eingangsordner reagiert, sondern scannt - wie etwa der SirCam-Wurm - auch den Cache des Internet Explorer nach gültigen E-Mail-Adressen und versendet sich an diese. Das führt zu der epidemiehaften Ausbreitung, die man erstmals mit SirCam erlebt hatte. Nach Recherchen von Golem.de verändert der Wurm ab und an auch die Absender-Adresse, indem es einen "_" vor die E-Mail setzt.

Darüber hinaus nistet Badtrans einen Trojaner ins System ein, der Informationen wie etwa Tastendrücke sammelt und diese an eine bestimmte E-Mail-Adresse weiterleitet. Wurde der Wurm durch Aktivierung des Dateianhangs gestartet, nistet sich dieser im Windows-Verzeichnis ein und legt sich dort unter dem Dateinamen INETD.EXE ab. Auch die (noch nicht installierte) Trojaner-Komponente findet sich hier und trägt zunächst den Namen HKK32.EXE. Nach der Installation kann man den Trojaner anhand der Dateien KERN32.EXE und HKSDLL.DLL identifizieren, die sich im Windows-Systemverzeichnis finden.

Den E-Mail-Wurm erkennt man nur recht schwer, da er auch auf eingegangene E-Mails reagiert und so wie eine normale Antwort-Mail aussieht. So behält der Wurm den Betreff bei und fügt lediglich das typische "Re:" an den Anfang der Zeile. Außerdem zitiert er die Original-Mail und setzt den recht unverfänglichen Text "Take a look to the attachment." als Antwort unter das Zitat. Wenn der Wurm Adressen aus dem Internet-Cache verwendet, steht nur ein "Re:" in der Betreffzeile und der Nachrichtentext bleibt leer. Auch am Dateianhang selbst lässt sich der Wurm nicht ausmachen, denn er pickt sich hier zufällig einen Dateinamen von über zehn möglichen Namen heraus, die allesamt doppelte Dateiendungen tragen und entweder auf SCR oder PIF enden.

Golem Karrierewelt
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.-28.09.2022, Virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    14./15.09.2022, Virtuell
Weitere IT-Trainings

Alle Hersteller von Antiviren-Software bieten mittlerweile aktuelle Signatur-Dateien für ihre Programme an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Widi 07. Feb 2002

Ich habe meinen PC inzwischen bereinigt (mein Anti-Virus-Programm findet den Wurm nicht...

kjdbvkhg 20. Jan 2002

melde auch: gestern den badtrans bekommen und erfolgreich weiter geschickt :-(

coolnes 17. Jan 2002

habe heute diesen virus auch erhalten aber er wurde vom system erkannt. das heisst er ist...

coolnes 17. Jan 2002

habe heute diesen virus auch erhalten aber er wurde vom system erkannt. das heisst er ist...



Aktuell auf der Startseite von Golem.de
TADF Technologie
Samsung kauft Cynora in Bruchsal und entlässt alle

Der Cynora-Chef wollte das deutsche Start-up zum Einhorn entwickeln. Nun wurden die Patente und die TADF-Technologie von Samsung für 300 Millionen Dollar gekauft und das Unternehmen zerschlagen.

TADF Technologie: Samsung kauft Cynora in Bruchsal und entlässt alle
Artikel
  1. Code-Genossenschaften: Mitbestimmung und Einheitsgehalt statt Frust im Hamsterrad
    Code-Genossenschaften
    Mitbestimmung und Einheitsgehalt statt Frust im Hamsterrad

    Programmieren ohne Chef, das klingt für Angestellte wie ein Traum. Kleine Unternehmen wagen eine hierarchiefreie Graswurzelrevolution.
    Ein Bericht von Daniel Ziegener

  2. Street Fighter 6 Vorschau: Modern zugeschlagen mit Ryu und Chun-Li
    Street Fighter 6 Vorschau
    Modern zugeschlagen mit Ryu und Chun-Li

    Neuer Grafikstil und eine Steuerung, die Button-Mashing den Kampf ansagt: Golem.de hat eine frühe Version Street Fighter 6 ausprobiert.

  3. Elektroauto: Hyundai Ioniq 6 bekommt ein stromlininienförmiges Design
    Elektroauto
    Hyundai Ioniq 6 bekommt ein stromlininienförmiges Design

    Hyundai hat das Design des Ioniq 6 gezeigt. Mit einer aerodynamischen Karosserie und einem Innenraum mit Wohlfühlambiente soll das Elektroauto Kunden von Tesla abwerben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PNY RTX 3080 12GB günstig wie nie: 929€ • MindStar (MSI RX 6700 XT 499€, G.Skill DDR4-3600 32GB 165€, AMD Ryzen 9 5900X 375€) • Nur noch heute: NBB Black Week • Top-TVs bis 53% Rabatt • Top-Gaming-PC mit AMD Ryzen 7 RTX 3070 Ti 1.700€ • Samsung Galaxy S20 FE 5G 128GB 359€ [Werbung]
    •  /