News
20.04.2001, 11:30 Uhr
I-Worm.BadTrans
Bei BadTrans handelt es sich um einen Mail-Wurm, der zusätzlich einen Schnüffel-Trojaner installiert.
Wie bei den meisten Würmern üblich, trifft die Gefahr per E-Mail ein. Wenn ein Benutzer eine infizierte Beilage ausführt, installiert sich der Wurm ins System. Er kopiert sich unter dem Namen INETD.EXE in den Windows Ordner und setzt darin auch eine Trojaner-Komponente (HKK32.EXE) ab. Bei Sophos [1] ist dieser Trojaner-Teil unter dem Namen "Keylog-C" bekannt. Diese Datei wird ausgeführt und verschiebt sich als KERN32.EXE in den Windows System-Ordner. Im System-Ordner entsteht ferner sowohl eine Datei HKSDLL.DLL, welche für das Aufzeichnen der Tastenfolgen zuständig ist, als auch eine Datei CP_23421.NLS, in welcher der Trojaner seine internen Daten speichert.
Damit der Wurm bei jedem Start geladen wird, fügt er eine "run"-Zeile in die Datei WIN.INI ein:
[Windows]
load=
run=C:\Windows\INETD.EXE
Läuft das betroffene System unter Windows NT oder Windows 2000, wird statt des WIN.INI-Eintrags ein Registry-Key erstellt:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
RUN=C:\WINDOWS\INETD.EXE
Der Trojaner-Teil fügt sich ebenfalls in die Registry ein. Nach jedem Start schreibt er diesen RunOnce-Key neu:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
kernel32=kern32.exe
Um den Benutzer abzulenken, bis der Trojaner installiert ist, zeigt der Wurm eine gefälschte Fehlermeldung an:
"Install error
File data corrupt:
probably due to bad data transmission or bad disk access.
OK".
Erst beim nächsten PC-Start fängt der Wurm an, sich per Mail zu verbreiten. Er klinkt sich den Mail-Prozess ein und "beantwortet" jede neu eingetroffene Mail - natürlich mit einer infizierten Beilage. Diese können einen dieser Dateinamen tragen:
Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif
Signalement der Mails, über die sich BadTrans verbreitet:
Der Betreff entspricht dem der Original-Mail, allerdings vorne mit einem "Re:" ergänzt. Beim Mail-Text wird ähnlich vorgegangen. Der Original-Text wird als Zitat eingeschoben und durch "> Take a look to the attachment." ergänzt.
Der Wurm fügt am Ende des Betreffs übrigens auch zwei Leerzeichen an. Er ist so programmiert, keine Mails zu beantworten, die mit solchen zwei Leerzeichen eintreffen. Dies tut er, um zu verhindern, dass er einem anderen infizierten PC antwortet. Weil aber manche Mail-Server oder Mail-Programme überflüssige Leerzeichen herausfiltern, kann es durchaus passieren, dass zwei mit "BadTrans" infizierte Rechner sich gegenseitig pingpongmässig mit Mails überhäufen, bis einer der betroffenen Mail-Server überlastet wird und zusammenbricht.
Wer BadTrans loswerden will, notiert sich die genauen Namen und Pfade (Speicherorte) der infizierten Dateien, die sein Virenscanner findet. Öffnen Sie die Datei C:\Windows\WIN.INI im Notepad und entfernen Sie dort den RUN-Verweis auf C:\Windows\INETD.EXE. Starten Sie im DOS-Modus und löschen Sie die vorhin notierten Dateien, indem Sie für jede Datei "del [Pfad\Name]" eintippen und jede Zeile per Enter-Taste abschliessen, also beispielsweise:
del c:\windows\inetd.exe
del c:\windows\system\kern32.exe
(usw.)
Kommentare
Es sind keine Kommentare vorhanden.