Trojanischer Wurm
17. April 2001
Laut Anti-Viren-Hersteller Kaspersky Labs soll der neue Wurm "Badtrans" alle ungelesenen Nachrichten im E-Mail-Postfach beantworten und ausserdem einen Trojaner ins Windows-System schleusen. Die Wurm-Komponente von "Badtrans" soll die Mail-Clients mit Standard-MAPI-Funktionen befallen, indem er alle ungelesenen E-Mail-Nachrichten beantwortet. Die Mail-Server können durch diese enorme Belastung schnell zum Erliegen kommen, denn dadurch, dass der Wurm nicht darauf achtet, ob ein Rechner bereits infiziert ist, kann es vorkommen, dass er sich zwischen zwei bereits infizierten Rechnern immer wieder versendet.
Ausserdem enthält "Badtrans" einen Trojaner. Nach Aktivierung des Dateianhangs nistet sich dieser im Windows-Verzeichnis ein und legt sich dort unter dem Dateinamen INETD.EXE ab. Zunächst trägt die noch nicht installierte Trojaner-Komponente den Namen HKK32.EXE, welche sich ebenfalls hier einnistet. Anhand der Dateien KERN32.EXE, HKSDLL.DLL und CP_23421.NSL, die sich im Windows-Systemverzeichnis befinden, kann man den installierten Trojaner identifizieren.
Der E-Mail-Wurm ist nur schwer zu erkennen, da er wie eine normale E-Mail-Antwort aussieht. Lediglich das bekannte "Re:" wird dem Betreff beigefügt. Als Antwort unter das Zitat der Original-Mail setzt er den Text "Take a look to the attachment." an. Als Dateianhang sucht sich der Wurm zufällig einen von über zehn möglichen Dateinamen aus, die entweder auf SCR oder PIF enden. (IW)
Ausserdem enthält "Badtrans" einen Trojaner. Nach Aktivierung des Dateianhangs nistet sich dieser im Windows-Verzeichnis ein und legt sich dort unter dem Dateinamen INETD.EXE ab. Zunächst trägt die noch nicht installierte Trojaner-Komponente den Namen HKK32.EXE, welche sich ebenfalls hier einnistet. Anhand der Dateien KERN32.EXE, HKSDLL.DLL und CP_23421.NSL, die sich im Windows-Systemverzeichnis befinden, kann man den installierten Trojaner identifizieren.
Der E-Mail-Wurm ist nur schwer zu erkennen, da er wie eine normale E-Mail-Antwort aussieht. Lediglich das bekannte "Re:" wird dem Betreff beigefügt. Als Antwort unter das Zitat der Original-Mail setzt er den Text "Take a look to the attachment." an. Als Dateianhang sucht sich der Wurm zufällig einen von über zehn möglichen Dateinamen aus, die entweder auf SCR oder PIF enden. (IW)
Artikel kommentieren
