Wiedergeburt des Badtrans-Wurms (Update)

Badtrans-Wurm schleust Trojaner ins System ein und nutzt Sicherheitsloch. Zahlreiche Hersteller von Antiviren-Software warnen vor einer neuen Variante des im April aufgetauchten Wurms "Badtrans", der sich zurzeit sehr stark verbreitet. Der Wurm hört auf den Namen W32.Badtrans.B@mm, beantwortet alle ungelesenen Nachrichten im E-Mail-Postfach und durchforstet den Internet-Cache nach E-Mail-Adressen, was zu einer Mail-Lawine führt. Außerdem schleust er einen Trojaner ins Windows-System ein, der nach Kennwörtern und vertraulichen Daten fahndet.

26. November 2001 um 10:15 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Die Wurm-Komponente von Badtrans befällt das System und nutzt dazu eine Sicherheitslücke im Internet Explorer in Zusammenhang mit Outlook und Outlook Express, die dafür sorgt, dass der Mail-Anhang automatisch beim Betrachten der E-Mail ausgeführt wird. Microsoft bietet seit Ende März einen deutschsprachigen Patch(öffnet im neuen Fenster) an, um das Problem zu beheben. Alle Anwender von Outlook und Outlook Express sollten diesen Patch schleunigst aufspielen. Auf anderen E-Mail-Clients wird der Wurm erst aktiv, wenn der Anhang geöffnet wird.

Die neue Variante von Badtrans verbreitet sich nicht nur, indem es auf unbeantwortete E-Mails im Eingangsordner reagiert, sondern scannt – wie etwa der SirCam-Wurm – auch den Cache des Internet Explorer nach gültigen E-Mail-Adressen und versendet sich an diese. Das führt zu der epidemiehaften Ausbreitung, die man erstmals mit SirCam erlebt hatte. Nach Recherchen von Golem.de verändert der Wurm ab und an auch die Absender-Adresse, indem es einen "_" vor die E-Mail setzt.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Homeoffice-Snitching: Microsoft Teams trackt Standort über WLAN ab Dezember 2025

zum Ratgeber

Seminar: Web-Accessibility in der Praxis – Techniken und Automatisierung: Virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Netzwerkanalyse mit Wireshark - gezielt Netzwerkdaten analysieren (E-Learning)

zum Kurs

Darüber hinaus nistet Badtrans einen Trojaner ins System ein, der Informationen wie etwa Tastendrücke sammelt und diese an eine bestimmte E-Mail-Adresse weiterleitet. Wurde der Wurm durch Aktivierung des Dateianhangs gestartet, nistet sich dieser im Windows-Verzeichnis ein und legt sich dort unter dem Dateinamen INETD.EXE ab. Auch die (noch nicht installierte) Trojaner-Komponente findet sich hier und trägt zunächst den Namen HKK32.EXE. Nach der Installation kann man den Trojaner anhand der Dateien KERN32.EXE und HKSDLL.DLL identifizieren, die sich im Windows-Systemverzeichnis finden.

Den E-Mail-Wurm erkennt man nur recht schwer, da er auch auf eingegangene E-Mails reagiert und so wie eine normale Antwort-Mail aussieht. So behält der Wurm den Betreff bei und fügt lediglich das typische "Re:" an den Anfang der Zeile. Außerdem zitiert er die Original-Mail und setzt den recht unverfänglichen Text "Take a look to the attachment." als Antwort unter das Zitat. Wenn der Wurm Adressen aus dem Internet-Cache verwendet, steht nur ein "Re:" in der Betreffzeile und der Nachrichtentext bleibt leer. Auch am Dateianhang selbst lässt sich der Wurm nicht ausmachen, denn er pickt sich hier zufällig einen Dateinamen von über zehn möglichen Namen heraus, die allesamt doppelte Dateiendungen tragen und entweder auf SCR oder PIF enden.

Alle Hersteller von Antiviren-Software bieten mittlerweile aktuelle Signatur-Dateien für ihre Programme an.

Zur Startseite Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Relevante Themen