W32.Badtrans.B

Wer per Mail den Wurm W32.Badtrans.B erhält und die infizierte Datei öffnet, löst eine ganze Reihe von ungemütlichen Aktionen aus. Er installiert nämlich einen Trojaner, der Tastatureingaben und die Inhalte offener Fenster in Windows aufzeichnet und dann an die im Absender angegebene Adresse verschickt.

Zu erkennen ist der Schädling sehr einfach: Die Mail hat nämlich gar keinen Inhalt. Die Betreffzeile besteht oft aus "Re:", da sich der Virus an E-Mail-Adressen von Mails verschickt, die auf dem infizierten Computer als ungelesen markiert sind.

Der infizierte Anhang nennt sich laut einer Liste bei Symantec nach dem Zufallsprinzip "PICS", "IMAGES", "README", "New_Napster_Site", "news_doc", "HAMSTER", "YOU_are_FAT", "stuff", "SETUP", "Card", "Me_nude", "Sorry_about_yesterday", "info", "docs", "Humor" oder "fun". Hinter dem Namen folgt eine der Dateiendungen ".doc", ".zip" oder ".mp3" gefolgt von einer zweiten, die ".src" oder ".pif" sein kann. Symantec hat auf seiner Site auch eine Liste der möglichen Absenderadressen zur Verfügung gestellt [1].

Der Virus verbreitet sich rasant, obwohl ihn aktualisierte Antiviren-Software problemlos erkennen sollte und auch entfernen kann. Zudem ist er (wie oben beschrieben) relativ einfach erkennbar.

Eine Infektion ist leicht nachvollziehbar wegen der Datei Kernel32.exe, die der Virus anlegt. Wer eine Infektion befürchtet, sollte seinen Computer im abgesicherten Modus aufstarten. Bei Windows 95 erreicht man dies durch das Drücken der F5-Taste während dem Aufstarten, bei Windows 98 und ME durch das drücken der strng-(oder Ctrl)-Taste. Danach kann man in einem Dos-Menü die Option "abgesicherter Modus" wählen.

Sobald Windows aufgestartet ist, gelangt man über das Startmenü über die Option "Suchen" auf die Windows-Suchfunktion. Dort kann man nach der Datei Kernel32.exe suchen. Wird sie gefunden, sollte sie in Kernel32.old umbenannt werden. Danach wird der Computer neu gestartet.

Danach muss mit einem Antivirenprogramm nach infizierten Dateien gesucht werden. Alle gefundenen Files müssen gelöscht werden.

Zudem muss noch ein Eintrag in der Registry gelöscht werden. Dazu wird im Startmenü die Option "Ausführen" gewählt und ins Dialogfeld "regedit" eingeben. Beim Eintrag "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" muss im rechten Fenster der Eintrag "Kernel32 Kernel32.exe" gelöscht werden.

Solche Veränderungen sollten nur geübte User vornehmen. Im Normalfall sollte ein aktuelles Antivirenprogramm die aufgeführten Schritte nicht notwendig machen.

Der Wurm nutzt eine Sicherheitslücke aus, für die Microsoft bereits einen Patch [2] bereitgestellt hat. Wer sich dafür interessiert, welche Tastatureingaben der eingangs erwähnte Trojaner-Teil schon aufgezeichnet und möglicherweise übermittelt hat, kann sich bei AV-Test ein Tool herunterladen [3], das die Datei entschlüsselt.