WORM_BADTRANS.B
Risk rating:
Datum: 26.11.2001
Bekannt seit: 24.11.2001
Aliases: W32/Badtrans-B, BADTRANS.B
Virus Art: Computerwurm
Schädlich: nein
In The Wild: ja
Triggerbedingungen: Ausführung
Schadteil: führt ein Key-Log Programm aus, späht Passwords aus
Pattern Datei: 970 - 170
Lösung verfügbar: 24.11.2001
Scan Engine: 5.200
Sprache: englisch
Plattform: Windows
Verschlüsselung: nein
Größe: 29,020 Bytes
Der speicherresidente Internetwurm ist eine Variante des WORM_BADTRANS.A und verbreitet sich via MAPI32. Er trifft auf die Zielsysteme in einem eMail als Attachment mit einer zufällig erstellten doppelten Extension, wobei der Empfänger des infizierten eMails das Attachment nicht unbedingt aktiv öffnen muss, um den Schadteil zu aktivieren! Dazu nutzt WORM_BADTRANS.A ein bekanntes Sicherheitsloch in IE-basierten eMail-Applikationen (MS Outlook / MS Outlook Express).
Nach der Infektion registriert sich der Wurm als Systemservice und sammelt folgende Informationen:
RAS Account, User-Name, Computername
Danach wird ein Key-Logger installiert (KDLL.DLL), der folgende Funktionen erfüllt:
“GetData”
“KeyLogOn”
“KeyLogOff”
“KeyLogOpt”
Über eine Verbindung zu einem SMTP Server werden sensitive Daten an eine definierte eMail-Adresse übertragen.
Mail Distribution Routine:
WORM_BADTRANS.B nutzt verschiedene Wege, sich zu verbreiten: Er erstellt Antworten auf empfangene eMails und sendet an Adressen, die er aus den *.HT oder .ASP Dateien entnimmt.
eMail Details:
Die eMails enthalten keinen Body-Text, im Header jedoch folgendes:
From:
(Zufällig aus u.a. Liste ausgewählt)
" Anna" -aizzo@home.com-
"JUDY" -JUJUB271@AOL.COM-
"Rita Tulliani" -powerpuff@videotron.ca-
"Tina" -tina0828@yahoo.com-
"Kelly Andersen" -Gravity49@aol.com-
" Andy" -andy@hweb-media.com-
"Linda" -lgonzal@hotmail.com-
"Mon S" -spiderroll@hotmail.com-
"Joanna" -joanna@mail.utexas.edu-
"JESSICA BENAVIDES" -jessica@aol.com-
" Administrator" -administrator@border.net-
" Admin" -admin@gte.net-
"Support" -support@cyberramp.net-
"Monika Prado" -monika@telia.com-
"Mary L. Adams" -mary@c-com.net-
Subject:
(Zufällig aus u.a. Liste ausgewählt)
"info"
"docs"
"Humor"
"fun"
Attachment:
(Bestehend aus drei Teilen, die kombiniert werden)
Basis:
"Pics"
"images"
"README"
"New_Napster_Site"
"news_doc"
"HAMSTER"
"YOU_are_FAT!"
"stuff"
"SETUP"
"Card"
"Me_nude"
"Sorry_about_yesterday"
erste Extension:
".DOC."
".ZIP."
".MP3."
zweite Extension:
"scr"
"pif"
Solution:
Löschen Sie die Datei %System%CP_25389.NLS
Klicken Sie Start/Ausführen, geben Sie REGEDIT ein und drücken Sie ENTER Taste.
Gehen Sie auf
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/
CurrentVersion/RunOnce
Rechts finden Sie den Registerwert kernel32
Klicken Sie den Registerwert und löschen Sie ihn.
Starten Sie Ihren Rechner neu.
, weil der Sch...s so schnell wieder hart wird!
