Startseite - Mülleimer - neuer emailwurm, der bereits aktiv ist...:  1 von 1 1
Auf den Beitrag: (ID: 2926) sind "0" Antworten eingegangen (Gelesen: 454 Mal).
"Autor"

neuer emailwurm, der bereits aktiv ist...:
Nutzer: Office
Status: Profiuser
Post schicken
Registriert seit: 22.09.2001
Anzahl Nachrichten: 847
geschrieben am: 27.11.2001    um 13:05 Uhr   
<b>Schutzmaßnahmen gegen den neuen E-Mail-Wurm "BadTrans"</b>
[26.11.2001 12:23 ]

Verschiedene Hersteller von Anti-Viren-Programmen warnen vor mehreren Varianten des E-Mail-Wurms BadTrans . Im Text der HTML-Mail kann "Take a look to the attachment" stehen, das Subject ist leer oder enthält "Re:" und die Bezeichnung des Anhangs besteht neben einem interessant klingenden Dateinamen aus der Extension ".doc", ".mp3" oder ".zip" sowie der Endung ".pif" oder ".scr". Mögliche Dateinamen könnten "YOU_are_FAT!.TXT.pif", "New_Napster_Site.DOC.scr" oder ähnliche sein. Auf ungepatchten Systemen nutzt der Wurm auch die IFRAME-Sicherheitslücke[1].

Beim Ausführen des Attachments durch unvorsichtige Benutzer erscheint eine Dialogbox "Install error" mit dem Inhalt "File data corrupt: probably due to a bad data transmission or bad disk access". Der Wurm kopiert sich selbst als "INETD.EXE" ins Windows-Verzeichnis, installiert eine Backdoor als "KERN32.EXE", "Kernel32.exe" oder "Kernel.exe" und den Key-Logger PWS-AV als "HKSDLL.DLL" oder "KDLL.DLL" im System-Ordner und sorgt über Einträge in der Win.ini und in der Registry für die automatische Ausführung derselben beim Systemstart.

BadTrans verschickt sich dann an Absender unbeantworteter E-Mails aus dem Outlook-Verzeichnis und soll die IP-Adresse des befallenen Rechners an den Autor übermitteln, der dann über die Backdoor Zugriff auf persönliche Daten und über den Key-Logger auch auf Passworte erlangen könnte.

Die neuesten Signatur-Dateien der gängigen Virenscanner können den Schädling aufspüren und vernichten.Weitere Hinweise zu Viren und Würmern gibt es auf der c’t-Antivirenseite[2]. Zur manuellen Entfernung kann man die genannten Dateien unter MS-DOS löschen und danach die Einträge HKLMSOFTWAREMicrosoftWindowsCurrentVersion RunOncekernel32=kern32.exe sowie HKEY_USERSSoftwareMicrosoftWindows NTCurrentVersionWindowsRUN=%WinDir%INETD.EXE in der Registry und gegebenenfalls der Win.ini entfernen. Einfacher ist es freilich, gar nicht erst derartige Attachments auszuführen. (lab[3]/c't)

URL dieses Artikels:
Link

Links in diesem Artikel:
[1] Link
[2] Link
[3] mailto:[email protected]

Copyright 2001 by Verlag Heinz Heise
~~~ Ich bin nicht assozial! Ich bin Niveauflexibel! ~~~
Antwort schreiben
Im Zitat antworten
Beitrag abonnieren 
  Top