Vorsicht vor "Badtrans B"
Vorsicht ist angebracht bei einer neuen Variante des Badtrans-Wurms, die derzeit verstärkt im Umlauf ist. Badtrans.B kann sich bereits beim Öffnen einer infizierten Mail aktivieren und einen Keylogger installieren, der Passwörter oder Kreditkarten-Nummern ausspioniert.
Vorsicht ist angebracht bei einer neuen Variante des Badtrans-Wurms, die derzeit verstärkt im Umlauf ist. Der so genannte "Badtrans.B" nutzt eine Sicherheitslücke unter Outlook sowie Outlook Express, für dieMicrosofteinenPatchanbietet.
Auf Systemen ohne IE 5.01 SP2, 5.5 SP2 oder IE 6.0 wird der Wurm bereits beim Öffnen einer infizierten Mail aktiviert. Der Betreff der Mail ist zufällig, das Nachrichtenfeld ist leer und der Anhang kann einen variablen Namen tragen.
Ist der Wurm aktiv, versendet er sich an alle Einträge im Adressbuch von Outlook sowie an Adressen, die der Wurm im Ordner "My Documents" beziehungsweise im Browser-Cache findet. Das Attachement kann folgende Namen tragen:
Fun, Humor, docs, info, Sorry_about_yesterday, Me_nude, Card, SETUP, stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, images, pics, S3MSONG oder SEARCHURL.
Einmal aktiviert, versucht Badtrans.B die IP-Adresse des Opfers an den Autor des Wurms zu senden. Des weiteren installiert der Wurm einen Keylogger, der die Tastatureingaben des Opfers protokolliert. Sensible Daten wie Passwörter oder Kreditkarten-Nummern können ausspioniert werden.
Badtrans.B installiert sich selbst unter Windows/System als "Kernel32.EXE" (nicht zu verwechseln mit der harmlosen Kernel32.DLL). Die Registry wird folgendermaßen abgeändert:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce\Kernel32 = KERNEL32.EXE
Der Keylogger ist auf infizierten Rechnern als "Kdll.DLL" unter Windows/System zu finden. Antiviren-Softwarehersteller empfehlen dringend, falls noch nicht geschehen, denMicrosoft-Patchaufzuspielen und ihre Antiviren-Software auf den aktuellsten Stand zu bringen, um Badtrans.B sicher zu erkennen und ihn gegebenenfalls zu entfernen.
An Stelle des Microsoft-Patches besteht auch die Möglichkeit, auf den Internet Explorer 6 umzusteigen.
