17.04.2001

.PIF .SCR

Bildquelle:

Neuer Wurm als Spammer und Sekretär

Der Antivirenspezialist Kaspersky Lab warnt vor einem Trojaner namens "Badtrans".

Der Wurm spioniert den infizierten Rechner aus, verschickt sich selbst und legt nebenbei Mail-Server lahm.

Wer sich hinreißen lässt, ein unverlangtes Mail-Attachement zu öffnen, das etwa "images.pif", "README.TXT.pif" oder "NEW_NAPSTER_Site.DOC.scr" heißt, aktiviert Badtrans.

Er verschickt Informationen von infizierten Rechnern an die E-Mail-Adresse ld8dll@mailandnews.com. Als versteckte Anwendung getarnt, liest er Registry-Einträge aus, etwa Benutzernamen oder Remote-Access-Informationen.

Daten werden verschickt
Selbst Tastatureingaben kann er protokollieren. Die so gewonnen Informationen schickt er regelmäßig an die genannte Mail-Adresse.

Kaspersky Lab

Legt sich im Windows-Verzeichnis ab

Um seine Schadensladung loszuwerden, kopiert sich der Wurm ins Windows-Verzeichnis und legt die Trojaner-Komponete ebenfalls dort ab. Der Trojaner verankert sich in den Autostart-Sektionen des Systems.

Unter Windows 98 etwa als "run=C:\\WINDOWS\\INETD.EXE" in der WIN.INI. Unter NT und Windows 2000 wird ein Registry-Schlüssel erzeugt.

Beantwortet ungelesene E-Mails

Das Programm versucht auf die MAPI-Funktionen zuzugreifen und betätigt sich als Sekretär: Es beantwortet alle ungelesenen E-Mails. Allerdings nicht wie gewünscht - im Anhang haben diese Mails dann den Trojaner. Zusätzlicher Schaden entsteht, wenn der Schädling eine unbeantwortete Mail von einem anderen infizierten Rechner entdeckt.

Mailfeuer zweier Würmer

Er verschickt sich dann dorthin, erhält wieder eine Antwort des Empfängers und so fort. Laut Kaspersky Lab ist diese Mailschwemme kein Feature, sondern ein Bug. Der Schädling fügt dem Ende der Betreff-Zeile zwei Leerzeichen an und ist darauf programmiert, so gekennzeichnete Mails nicht zu beantworten.

Die meisten Mail-Server entfernen aber automatisch Leerzeichen am Ende der Betreff-Zeile und machen diese Absicht zunichte. Kaspersky Lab hat Abwehrmechanismen für Badtrans in die aktuellen Signaturen für seine Virenscanner eingearbeitet.