Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-606

[MS/Generic] Weitere Mutationen des BadTrans-E-Mail-Wurms
(2001-11-30 06:18:10+00) Druckversion


Dem RUS-CERT liegen Berichte vor, wonach weitere Mutationen des BadTrans-E-Mail-Wurms in Umlauf sind.

Betroffene Systeme

  • Microsoft Windows

Einfallstor
HTML-E-Mail sowie E-Mail-Attachment

Auswirkung

  • Installation des Wurms unter
      %windir%\INETD.EXE
  • Installation des trojanischen Pferdes "Backdoor-NK.svr", welches Passwörter protokolliert und einen Zugang über das Netzwerk ermöglicht
    • %sysdir%\KERN32.EXE bzw. Kernel32.exe oder Kernel.exe (trojanisches Pferd)
    • %sysdir%\HKSDLL.DLL bzw. kdll.dll (Keylogger)
  • Übermittlung der IP (des infizierten Systems) an eine wahrscheinlich vom Angreifer kontrollierte Mailadresse/IP.
  • Weiterverbreitung des Wurms durch Anhängen an nicht beantwortete Nachrichten aus dem Outlook-Verzeichnis
  • Weiterverbreitung des Wurms an Mailadressen die in .HT und .ASP Dateien auf dem betroffenen System vorgefunden werden.

Typ der Verwundbarkeit
Virus (Email-Wurm)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Dem RUS-CERT liegen Berichte vor, wonach weitere Mutationen des bereits unter [MS/Generic] Wurm namenes "BadTrans" verbreitet sich per E-Mail-Attachment beschriebenen E-Mail-Wurm berichtet.
Danach variiert das Subject der E-Mails zwischen:

  • Re:
  • (leer, d.h. keine Eintragung im Subject)
  • Re: < Subject einer Mail die vorgefunden wurde, und auf die der Wurm automatisiert antwortet >
  • info
  • docs
  • Humor
  • fun
Es muss damit gerechnet werden, daß sich bei weiteren Mutationen des Wurms sowohl das Subject als auch der Attachmentname von den bislang bekannten unterscheidet.

Entfernung des Wurms

  • manuelle Entfernung
    • Beenden des Prozess kernel32.exe über den Taskmanager.
    • Löschen Sie die aufgeführten Dateien (siehe Auswirkung) und entfernen Sie die Registrierungsschlüssel HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\kernel32=kern32.exe sowie HKEY_USERS\Software\Microsoft\WindowsNT\CurrentVersion\Windows\RUN=%WinDir%\INETD.EXE
    • Entfernung etwaiger Eintragungen dieser Art in der win.ini (dazu liegen bislang keine Details vor)
  • Entfernung mittels Anti-Virensoftware

Gegenmaßnahmen

Workaround für Mailserver-Administratoren
Filterung aller Attachments mit .pif oder .scr-Endung

Generelle Empfehlung (Wh)

  • Führen Sie keinerlei Attachments aus, die sie per Email erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
  • Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich.

Bekannte Aliases

  • Backdoor-NK.svr
  • BadTrans (F-Secure)
  • I-Worm.Badtrans (AVP)
  • TROJ_BADTRANS.A (Trend)
  • W32.Badtrans.13312@mm (NAV)
  • W32.Badtrans.B@mm

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.