Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-599

[MS/Generic] Wurm namenes "BadTrans" verbreitet sich per E-Mail-Attachment (Update)
(2001-11-26 17:21:59+00)

Quelle: http://vil.nai.com/vil/virusSummary.asp?virus_k=99069

Eine neue Variante des E-Mail-Wurms "BadTrans" verbreitet sich per E-Mail-Attachment. Der Wurm nutzt die bekannte Schwachstelle durch inkorrekte MIME-Header im IE aus, wodurch das Attachment bereits beim Lesen der Mail ausgeführt wird.

Betroffene Systeme

Einfallstor
HTML-E-Mail sowie E-Mail-Attachment

Auswirkung

Typ der Verwundbarkeit
Virus (Email-Wurm)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der Wurm "BadTrans" verbreitet sich mittels E-Mail-Attachments auf mehrere Arten. Zum einen hängt er sich an nicht beantwortete Nachrichten aus dem Outlook Verzeichnis an, wobei das Subject der Mail leer oder "Re:" ist. Zum anderen versendet sich der Wurm an Mailadressen, die in .HT und .ASP-Dateien vorgefunden werden. Das Subject der Mails wird dabei willkürlich von folgender Liste gewählt:

Der Wurm nutzt die im März 2001 unter [MS/IE/Outlook] Schwachstelle bei der Verarbeitung von falschen MIME Types beschriebene Schwachstelle im Internet Explorer 5.x aus, wodurch das Attachment bereits beim Lesen der HTML-E-Mail oder beim Betrachten der (Auto-)Vorschau ausgeführt wird.

Der Attachment-Name wird zufällig aus einer Liste von Dateinamen ausgewählt (z.B. docs.DOC.pif).

Das Attachment besitzt bei der neuen Variante eine Größe von 29020 Byte, die ursprüngliche Variante des "BadTrans"-Wurm besitzt eine Größe von 13312 Byte.

Der Wurm legt sich selbst im Windows Verzeichnis als INETD.EXE sowie im Systemverzeichnis als kernel32.exe ab und wird über die Registrierungswerte HKEY_USERS\Software\Microsoft\WindowsNT\CurrentVersion\Windows\RUN=%WinDir%\INETD.EXE sowie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32=kernel32.exe ausgeführt.

Entfernung des Wurms

Gegenmaßnahmen

Workaround für Mailserver-Administratoren
Filterung aller Attachments mit .pif oder .scr-Endung

Generelle Empfehlung (Wh)

Bekannte Aliases

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=599