  |
|
|
 |
 Neuer E-Mail Wurm |
Exekutor 
Dabei seit: 06.07.2001
Beiträge: 4.071
Herkunft: From the Other Side
 |
|
| Neuer E-Mail Wurm |
|
1. Meldung von ROTALARM.DE nachrichtenservice der
JRPAMC-WD-IIS http://www.rotalarm.de
[Trojaner & Backdoors] Wie fast alle Antivirus-Hersteller
übereinstimmend warnen, verbreitet sich eine neue Variante
I-Worm.Badtrans.B alias Win32.Badtrans-B@mm, W32/Badtrans@mm,
W32/Badtrans-B des im April aufgetauchten Wurms "Badtrans" zur Zeit
sehr stark. Der Wurm beantwortet alle ungelesenen Nachrichten im
E-Mail-Postfach und schleust den Trojaner Troj/PWS-AV (s. Sophos) ins
Windows-System ein. Die Wurm-Komponente kann dabei die
E-Mail-Kommunikation besonders in Unternehmen schnell zum Erliegen
bringen, warnt Golem.
Die Wurm-Komponente von Badtrans befällt microsoft Outlook und
Outlook Express, indem dieser alle darin enthaltenen ungelesenen
E-Mails beantwortet. Diese enorme Belastung kann Mail-Server in
Unternehmen in die Knie zwingen, wo nicht der Patch gegen die
Microsoft Sicherheits-Lücke aus MS01-027 installiert ist. Eine
bereits vorhandene "Infektion" beachtet der Wurm nämlich nicht, so
dass es passieren kann, dass sich der Wurm zwischen zwei Adressen
ständig hin- und herversendet, indem er auf seine selbst versendeten
Infektions-Mails reagiert.
Darüber hinaus nistet Badtrans einen Trojaner ins System ein, der
Informationen wie etwa Tastendrücke sammelt und diese an eine
bestimmte E-Mail-Adresse weiterleitet. Wurde der Wurm durch
Aktivierung des Dateianhangs gestartet, nistet sich dieser im
Windows-Verzeichnis ein und legt sich dort unter dem Dateinamen
INETD.EXE ab. Auch die (noch nicht installierte) Trojaner-Komponente
findet sich hier und trägt zunächst den Namen HKK32.EXE. Nach der
Installation kann man den Trojaner anhand der Dateien KERN32.EXE und
HKSDLL.DLL identifizieren, die sich im Windows-Systemverzeichnis
finden.
Den E-Mail-Wurm erkennt man nur recht schwer, da er auf eingegangene
E-Mails reagiert und so wie eine normale E-Mail-Antwort aussieht. So
behält der Wurm den Betreff bei und fügt lediglich das typische "Re:"
dazu. Außerdem zitiert er die Original-Mail und setzt den recht
unverfänglichen Text "Take a look to the attachment." als Antwort
unter das Zitat. Auch am Dateianhang selbst lässt sich der Wurm nicht
ausmachen, denn er pickt sich hier zufällig einen Dateinamen von über
zehn möglichen Namen heraus, die allesamt doppelte Dateiendungen
tragen und entweder auf SCR oder PIF enden. :: [dre].
2. Meldung unserer Partnerseite: BlueMerlin-Security Team
http://www.bluemerlin-security.de/
Sophos Antivirus und Kaspersky Labs meldeten bereits am 24.11.01
einen neuen Wurm mit dem Namen Badtrans.B, der sich über MAPI kompatible
eMail-Clienten verbreitet. Der Wurm wird als Anhang einer eMail
verschickt, die keinen Text besitzt. Die angehängte Datei hat eine
doppelte Dateiendung und besitzt einen zufällig gewählten Namen, der
aus folgenden Begriffen zusammengefügt wird:
FUN
HUMOR
DOCS
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
SEARCHURL
YOU_ARE_FAT!
HAMSTER NEWS_DOC
New_Napster_Site
README
IMAGES
PICS
Die erste Dateiendung kann folgende Bezeichnungen tragen:
DOC.
MP3.
ZIP.
Die letzte Dateiendung kann folgende Bezeichnungen tragen:
pif
scr
Der Wurm kopiert sich in das Windows-Systemverzeichnis mit dem Namen:
KERNEL32.EXE (nicht dll!!) und modifiziert einen Eintrag in der
Windows-Registry unter:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce so that
Der Wurm wird beim nächsten Systemstart aktiviert und setzt dabei einen
weiteren Trojaner mit dem Namen Trojan Troj/PWS-AV frei. Dieser Trojaner
wird zur Spionage von Passwörtern benutzt.
Benutzer von Outlook und Outlook Express sollten die automatische
Vorschau deaktivieren und die von Microsoft angebotenen Patches
installieren. Beiden Clients wird dann der Zugriff auf potentiell
gefährliche Dokumente wie zum Beispiel doppelte Dateiendungen verweigert.
Update
Offensichtlich ist Badtrans.B fehlerhaft programmiert oder es war so
gewollt. Badtrans.B durchsucht nach der Infektion das Adressbuch und
verschickt sich als Kopie an alle dort gefundenen Adressen. Der Wurm
setzt in den eMails allerdings vor der Absender-Adresse einen Unterstrich. Falls Sie also auf ein solches eMail direkt mit einer Warnung vor dem Wurm antworten wollen (weil es vielleicht ein Freund oder Bekannter ist), müssen Sie den Unterstrich vor der Empfänger-Andresse entfernen, sonst kommt Ihre Warnung nicht an.
Weitere Informationen finden Sie unter:
http://germany.trendmicro.de/vinfo/virus...m=q&virus=badtr
http://www.sophos.de/
http://www.kaspersky.com/
Falls Sie mit Outlook oder Outlook Express arbeiten, besuchen Sie bitte
unsere Übersichtsseite für Mirosoft Sicherheitspatches:
http://www.bluemerlin-security.de/Berich...gs_Patches.php3
Wenn Outlook und Outlook Express mit den Patches versehen werden,
werden potentiell gefährliche Anhänge nicht mehr automatisch ausgeführt.
Ebenso sollten Sie auf die automatische Vorschaufunktion
verzichten, da Badtrans.B sich bereits dort selbst ausführt.
3. Virenwarnung: W32.BadtransII von http://www.virus.at
Nach W32.Nimda.E, W32.Aliz ist seit einigen Stunden W32.BadtransII
verstärkt in Europa unterwegs.
Wir erhalten laufend Mails aus Deutschland und Österreich mit diesem
Wurm als Anhang darum geben wir die Warnstufe "HIGH" aus.
Wie alle Viren die in letzter Zeit auftauchen nützt auch W32.BadtransII
die Sicherheitslücke IFRAME (iframe src=cid:EA4DMGBP9p) von Microsofts
IE um sich weiter zuverbreiten.
Badtrans kommt per eMail mit dem Betreff RE: und keinem Text in der eMAil.
Das Attachment besteht aus einer der nachfolgenden Kombination:
FUN
HUMOR
DOCS
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
SEARCHURL
YOU_ARE_FAT!
HAMSTER NEWS_DOC
New_Napster_Site
README
IMAGES
PICS
danach:
.DOC.
.MP3.
.ZIP.
und als Dateiendung:
pif
scr
Diese Sicherheitslücke wurde bereits im März (2001) im Microsoft Security
Bulletin (MS01-020) gepostet und Microsoft stellte auch einen Patch zur
Verfügung den Sie umgehend einspielen sollten!
Alle Virenscanner sollten diese Version bereits erkennen! Updaten Sie
bitte.
__________________
This is Europe, not L.A.!
Die Deutsche Rechtschreibung ist Freeware,du kannst sie kostenlos nutzen.Allerdings ist sie nicht Open Source,du darfst sie nicht verändern oder in veränderter Form veröffentlichen.
|
|
28.11.2001 11:55 |
|
|
Alex
Boardgründer
Dabei seit: 05.07.2001
Beiträge: 814
Herkunft: Hessen
|
|
Habe in den letzten Tagen sehr viele davon bekommen.:verymad Habe einen Virusscanner drüberlaufen lassen. Der hat paar infizierte Dateien gefunden.
Muss mir mal den Security-Patch runterladen.
__________________
MfG Alex
Die Zeit ist der beste Lehrer - leider tötet Sie alle Schüler
|
|
|
28.11.2001 14:53 |
|
|
Dark Vader
Junior Member
Dabei seit: 06.07.2001
Beiträge: 123
|
|
FUCK!!!
Hab ihn bekommen und aus versehen gestartet 
Wie kann ich ihn löschen???????
Mein Virenscanner ist geupdatet findet aber trotzdem nichts!!!!!!
Was NU????
__________________
[GLOW=limegreen]----HtTp://KiCkMe.To/FrEaK2000----[/GLOW]
[GLOW=limegreen]www.BigMicha.da.ru[/GLOW]
|
|
|
28.11.2001 16:13 |
|
|
Alex
Boardgründer
Dabei seit: 05.07.2001
Beiträge: 814
Herkunft: Hessen
|
|
Ich würde noch das Programm Anti-Trojan drüberlaufen lassen.
__________________
MfG Alex
Die Zeit ist der beste Lehrer - leider tötet Sie alle Schüler
|
|
|
28.11.2001 19:49 |
|
|
Sebat
BlackBoarder
Dabei seit: 28.11.2001
Beiträge: 789
Herkunft: Berlin
|
|
Ich weiß jetzt nicht unbedingt ob es der selbe Wurm ist, doch ich habe einen bekommen, der sich nur durchs runterladen in MS outlook Aktiviert und nicht alle unbeantworteten sondern alle Adressen im Adressbuch angreift!!!
Er setzt sich auf die Kernel32 Und eine DLL Datei und macht da so sein misst!!!!
Soweit ich weiß hat heute Norten Anti Virus reagiert und und eine Erweiterung zu diesem rausgebracht, doch der Nachteil ist er wird erkannt, doch nicht vernichtet!!!
Tipp: Erneuert die Befallenen Daten!!!
ich hoffe ich konnte helfen und hab nicht den gleichen beschrieben!
Nachtrag: nachdem ich mir den gesammten beitrag durchgelesen hab ist mir aufgefallen, das ich doch diesen Wurm hab!!!
Sorry!
|
|
|
28.11.2001 22:00 |
|
|
|
|
|
|
|
