Schutzmaßnahmen gegen den neuen E-Mail-Wurm "BadTrans"
Verschiedene Hersteller von Anti-Viren-Programmen warnen vor mehreren Varianten des E-Mail-Wurms BadTrans. Im Text der HTML-Mail kann "Take a look to the attachment" stehen, das Subject ist leer oder enthält "Re:" und die Bezeichnung des Anhangs besteht neben einem interessant klingenden Dateinamen aus der Extension ".doc", ".mp3" oder ".zip" sowie der Endung ".pif" oder ".scr". Mögliche Dateinamen könnten "YOU_are_FAT!.TXT.pif", "New_Napster_Site.DOC.scr" oder ähnliche sein. Auf ungepatchten Systemen nutzt der Wurm auch die IFRAME-Sicherheitslücke.
Beim Ausführen des Attachments durch unvorsichtige Benutzer erscheint eine Dialogbox "Install error" mit dem Inhalt "File data corrupt: probably due to a bad data transmission or bad disk access". Der Wurm kopiert sich selbst als "INETD.EXE" ins Windows-Verzeichnis, installiert eine Backdoor als "KERN32.EXE", "Kernel32.exe" oder "Kernel.exe" und den Key-Logger PWS-AV als "HKSDLL.DLL" oder "KDLL.DLL" im System-Ordner und sorgt über Einträge in der Win.ini und in der Registry für die automatische Ausführung derselben beim Systemstart.
BadTrans verschickt sich dann an Absender unbeantworteter E-Mails aus dem Outlook-Verzeichnis und soll die IP-Adresse des befallenen Rechners an den Autor übermitteln, der dann über die Backdoor Zugriff auf persönliche Daten und über den Key-Logger auch auf Passworte erlangen könnte.
Die neuesten Signatur-Dateien der gängigen Virenscanner können den Schädling aufspüren und vernichten.Weitere Hinweise zu Viren und Würmern gibt es auf der c’t-Antivirenseite. Zur manuellen Entfernung kann man die genannten Dateien unter MS-DOS löschen und danach die Einträge HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\kernel32=kern32.exe sowie HKEY_USERS\Software\Microsoft\Windows NT\CurrentVersion\Windows\RUN=%WinDir%\INETD.EXE in der Registry und gegebenenfalls der Win.ini entfernen. Einfacher ist es freilich, gar nicht erst derartige Attachments auszuführen.
Internetbenutzer habe ich die Email sofort gelöscht. Damit ist das Problem doch behoben, oder?
