Laut Antivirenspezialist
McAfee und dem Anti-Virenlabor
Trend Micro soll ein neuer Wurm Namens "W32/Badtrans-B" sein Umwesen treiben. Es sollen bereits verschiedene Varianten des Schädlings im Umlauf sein. Badtrans verbreitet sich massenhaft über E-Mail und führt ein Key-Log-Programm aus, das Benutzerdaten bis hin zu Passwörtern ausspioniert. Badtrans versucht den Benutzer zum Öffnen eines Mail-Anhangs zu bewegen, kann aber auch ohne eine aktive Öffnung desselben aktiviert werden, da er ein bekanntes Sicherheitsloch im Outlook ausnutzt.
Im Mail-Textl steht beispielsweise "Take a look to the attachment" , das Subject ist leer oder enthält "Re:" Die Bezeichnung des Anhangs besteht aus der Erweiterung ".doc", ".mp3" oder ".zip" sowie der Endung ".pif" oder ".scr". Mögliche Dateinamen können u.a. "YOU_are_FAT!.TXT.pif", "New_Napster_Site.DOC.scr" sein.
Der Wurm kopiert sich selbst als "INETD.EXE" ins Windows-Verzeichnis, installiert eine Backdoor als "Kern32.exe", "Kernel32.exe" oder "Kernel.exe" und den Key-Logger PWS-AV als "HKSDLL.DLL" oder "KDLL.DLL" im System-Ordner und sorgt über Einträge in der Win.ini und in der Registry für die automatische Ausführung derselben beim Systemstart. Badtrans erstellt Antworten auf empfangene E-Mails und sendet an Adressen, die er aus den "*.HT"- oder ".ASP"-Dateien entnimmt.
Aktuelle Virenscanner sollen den neuen Schädling bereits erkennen. Manuell kann man die entsprechenden Dateien unter MS-DOS löschen und die Einträge HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\kernel32=kern32.exe und HKEY_USERS\Software\Microsoft\Windows NT\CurrentVersion\Windows\RUN=%WinDir%\INETD.EXE in der Registry oder der Win.ini entfernen. (sk)