Eine neue Variante des E-Mail-Wurms "BadTrans" verbreitet sich per E-Mail-Attachment. Der Wurm nutzt die bekannte Schwachstelle durch inkorrekte MIME-Header im IE aus, wodurch das Attachment bereits beim Lesen der Mail ausgeführt wird.

Betroffene Systeme

• Microsoft Windows

Einfallstor
HTML-E-Mail sowie E-Mail-Attachment

Auswirkung

• Installation des Wurms unter
  %windir%\INETD.EXE
• Installation des trojanischen Pferdes "Backdoor-NK.svr", welches Passwörter protokolliert und einen Zugang über das Netzwerk ermöglicht
  • %sysdir%\KERN32.EXE bzw. Kernel32.exe oder Kernel.exe (trojanisches Pferd)
  • %sysdir%\HKSDLL.DLL bzw. kdll.dll (Keylogger)
• Übermittlung der IP (des infizierten Systems) an eine wahrscheinlich vom Angreifer kontrollierte IP. (Der Host ist mittlerweile nicht mehr erreichbar.)
• Weiterverbreitung des Wurms durch Anhängen an nicht beantwortete Nachrichten aus dem Outlook-Verzeichnis

Typ der Verwundbarkeit
Virus (Email-Wurm)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der Wurm "BadTrans" verbreitet sich mittels E-Mail-Attachments auf mehrere Arten. Zum einen hängt er sich an nicht beantwortete Nachrichten aus dem Outlook Verzeichnis an, wobei das Subject der Mail leer oder "Re:" ist. Zum anderen versendet sich der Wurm an Mailadressen, die in .HT und .ASP-Dateien vorgefunden werden. Das Subject der Mails wird dabei willkürlich von folgender Liste gewählt:

• info
• docs
• Humor
• fun

Der Attachment-Name wird zufällig aus einer Liste von Dateinamen ausgewählt (z.B. docs.DOC.pif).

• Für den ersten Block des Dateinamen scheinen momentan folgende Varianten vorzuliegen
  • fun
  • Humor
  • docs
  • info
  • Sorry_about_yesterday
  • Me_nude
  • Card
  • SETUP
  • stuff
  • YOU_are_FAT!
  • HAMSTER
  • news_doc
  • New_Napster_Site
  • README
  • images
  • Pics
• Der zweite Block des Dateinamen setzt sich aus folgenden Möglichkeiten zusammen:
  • .DOC.
  • .MP3.
  • .ZIP.
• Der dritte (und letzte Block) des Dateinamen setzt sich aus folgenden Möglichkeiten zusammen
  • pif
  • scr

Der Wurm legt sich selbst im Windows Verzeichnis als INETD.EXE sowie im Systemverzeichnis als kernel32.exe ab und wird über die Registrierungswerte HKEY_USERS\Software\Microsoft\WindowsNT\CurrentVersion\Windows\RUN=%WinDir%\INETD.EXE sowie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32=kernel32.exe ausgeführt.

Entfernung des Wurms

• manuelle Entfernung
  • Beenden des Prozess kernel32.exe über den Taskmanager.
  • Löschen Sie die aufgeführten Dateien (siehe Auswirkung) und entfernen Sie die Registrierungsschlüssel HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\kernel32=kern32.exe sowie HKEY_USERS\Software\Microsoft\WindowsNT\CurrentVersion\Windows\RUN=%WinDir%\INETD.EXE
  • Entfernung etwaiger Eintragungen dieser Art in der win.ini (dazu liegen bislang keine Details vor)
• Entfernung mittels Anti-Virensoftware

Gegenmaßnahmen

• Installation des Patches für den Internet Explorer:
  • http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
• Installieren sie die aktuellen Anti-Virus-Updates.
  Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee Virenscanner, der in der aktuellen Version diesen Virus zuverlässig erkennt und entfernt. Näheres hierzu erfahren Sie unter
  • http://wb.rus.uni-stuttgart.de/viren/ (Zugriff nur für Mitglieder der Universität Stuttgart)
  • McAfee DAT 4168

Workaround für Mailserver-Administratoren
Filterung aller Attachments mit .pif oder .scr-Endung

Generelle Empfehlung (Wh)

• Führen Sie keinerlei Attachments aus, die sie per Email erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
• Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich.

Bekannte Aliases

• Backdoor-NK.svr
• BadTrans (F-Secure)
• I-Worm.Badtrans (AVP)
• TROJ_BADTRANS.A (Trend)
• W32.Badtrans.13312@mm (NAV)
• W32.Badtrans.B@mm

Weitere Information zu diesem Thema

• McAfee W32/Badtrans@MM

Weitere Artikel zu diesem Thema:

• [MS/Generic] Weitere Mutationen des BadTrans-E-Mail-Wurms (2001-11-30)
  Dem RUS-CERT liegen Berichte vor, wonach weitere Mutationen des BadTrans-E-Mail-Wurms in Umlauf sind.
• [MS/IE/Outlook] Schwachstelle bei der Verarbeitung von falschen MIME Types (2001-03-30)
  Durch eine Schwachstelle bei der Verarbeitung von MIME Types kann beim Betrachten von HTML E-Mails oder arglistigen Webseiten beliebiger Programmcode ausgeführt werden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/