6942

Vorsicht vor "Badtrans B"

27.11.2001 | 11:01 Uhr |

Vorsicht ist angebracht bei einer neuen Variante des Badtrans-Wurms, die derzeit verstärkt im Umlauf ist. Badtrans.B kann sich bereits beim Öffnen einer infizierten Mail aktivieren und einen Keylogger installieren, der Passwörter oder Kreditkarten-Nummern ausspioniert.

Vorsicht ist angebracht bei einer neuen Variante des Badtrans-Wurms, die derzeit verstärkt im Umlauf ist. Der so genannte "Badtrans.B" nutzt eine Sicherheitslücke unter Outlook sowie Outlook Express, für die Microsoft einen Patch anbietet.

Auf Systemen ohne IE 5.01 SP2, 5.5 SP2 oder IE 6.0 wird der Wurm bereits beim Öffnen einer infizierten Mail aktiviert. Der Betreff der Mail ist zufällig, das Nachrichtenfeld ist leer und der Anhang kann einen variablen Namen tragen.

Ist der Wurm aktiv, versendet er sich an alle Einträge im Adressbuch von Outlook sowie an Adressen, die der Wurm im Ordner "My Documents" beziehungsweise im Browser-Cache findet. Das Attachement kann folgende Namen tragen:

Fun, Humor, docs, info, Sorry_about_yesterday, Me_nude, Card, SETUP, stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, images, pics, S3MSONG oder SEARCHURL.

Einmal aktiviert, versucht Badtrans.B die IP-Adresse des Opfers an den Autor des Wurms zu senden. Des weiteren installiert der Wurm einen Keylogger, der die Tastatureingaben des Opfers protokolliert. Sensible Daten wie Passwörter oder Kreditkarten-Nummern können ausspioniert werden.

Badtrans.B installiert sich selbst unter Windows/System als "Kernel32.EXE" (nicht zu verwechseln mit der harmlosen Kernel32.DLL). Die Registry wird folgendermaßen abgeändert:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce\Kernel32 = KERNEL32.EXE

Der Keylogger ist auf infizierten Rechnern als "Kdll.DLL" unter Windows/System zu finden. Antiviren-Softwarehersteller empfehlen dringend, falls noch nicht geschehen, den Microsoft-Patch aufzuspielen und ihre Antiviren-Software auf den aktuellsten Stand zu bringen, um Badtrans.B sicher zu erkennen und ihn gegebenenfalls zu entfernen.

An Stelle des Microsoft-Patches besteht auch die Möglichkeit, auf den Internet Explorer 6 umzusteigen.

Vorsicht: Neuer 0190-Dialer tarnt sich als Sex-Video (PC-WELT Online, 27.11.2001)

Neuer Wurm "in the wild" (PC-WELT Online, 29.10.2001)

ANTS3-Wurm: Mail-Lawine, Anzeigen und Morddrohungen (PC-WELT Online, 26.10.2001)

Vorsicht: Wurm tarnt sich als Trojaner-Scanner ANTS (PC-WELT Online, 24.10.2001)

0 Kommentare zu diesem Artikel
6942