I-Worm.BadTrans

Wie bei den meisten Würmern üblich, trifft die Gefahr per E-Mail ein. Wenn ein Benutzer eine infizierte Beilage ausführt, installiert sich der Wurm ins System. Er kopiert sich unter dem Namen INETD.EXE in den Windows Ordner und setzt darin auch eine Trojaner-Komponente (HKK32.EXE) ab. Bei Sophos [1] ist dieser Trojaner-Teil unter dem Namen "Keylog-C" bekannt. Diese Datei wird ausgeführt und verschiebt sich als KERN32.EXE in den Windows System-Ordner. Im System-Ordner entsteht ferner sowohl eine Datei HKSDLL.DLL, welche für das Aufzeichnen der Tastenfolgen zuständig ist, als auch eine Datei CP_23421.NLS, in welcher der Trojaner seine internen Daten speichert.

Damit der Wurm bei jedem Start geladen wird, fügt er eine "run"-Zeile in die Datei WIN.INI ein:

[Windows]

load=

run=C:\Windows\INETD.EXE

Läuft das betroffene System unter Windows NT oder Windows 2000, wird statt des WIN.INI-Eintrags ein Registry-Key erstellt:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

RUN=C:\WINDOWS\INETD.EXE

Der Trojaner-Teil fügt sich ebenfalls in die Registry ein. Nach jedem Start schreibt er diesen RunOnce-Key neu:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

kernel32=kern32.exe

Um den Benutzer abzulenken, bis der Trojaner installiert ist, zeigt der Wurm eine gefälschte Fehlermeldung an:

"Install error

File data corrupt:

probably due to bad data transmission or bad disk access.

OK".

Erst beim nächsten PC-Start fängt der Wurm an, sich per Mail zu verbreiten. Er klinkt sich den Mail-Prozess ein und "beantwortet" jede neu eingetroffene Mail - natürlich mit einer infizierten Beilage. Diese können einen dieser Dateinamen tragen:

Pics.ZIP.scr

images.pif

README.TXT.pif

New_Napster_Site.DOC.scr

news_doc.scr

hamster.ZIP.scr

YOU_are_FAT!.TXT.pif

searchURL.scr

SETUP.pif

Card.pif

Me_nude.AVI.pif

Sorry_about_yesterday.DOC.pif

s3msong.MP3.pif

docs.scr

Humor.TXT.pif

fun.pif

Signalement der Mails, über die sich BadTrans verbreitet:

Der Betreff entspricht dem der Original-Mail, allerdings vorne mit einem "Re:" ergänzt. Beim Mail-Text wird ähnlich vorgegangen. Der Original-Text wird als Zitat eingeschoben und durch "> Take a look to the attachment." ergänzt.

Der Wurm fügt am Ende des Betreffs übrigens auch zwei Leerzeichen an. Er ist so programmiert, keine Mails zu beantworten, die mit solchen zwei Leerzeichen eintreffen. Dies tut er, um zu verhindern, dass er einem anderen infizierten PC antwortet. Weil aber manche Mail-Server oder Mail-Programme überflüssige Leerzeichen herausfiltern, kann es durchaus passieren, dass zwei mit "BadTrans" infizierte Rechner sich gegenseitig pingpongmässig mit Mails überhäufen, bis einer der betroffenen Mail-Server überlastet wird und zusammenbricht.

Wer BadTrans loswerden will, notiert sich die genauen Namen und Pfade (Speicherorte) der infizierten Dateien, die sein Virenscanner findet. Öffnen Sie die Datei C:\Windows\WIN.INI im Notepad und entfernen Sie dort den RUN-Verweis auf C:\Windows\INETD.EXE. Starten Sie im DOS-Modus und löschen Sie die vorhin notierten Dateien, indem Sie für jede Datei "del [Pfad\Name]" eintippen und jede Zeile per Enter-Taste abschliessen, also beispielsweise:

del c:\windows\inetd.exe

del c:\windows\system\kern32.exe

(usw.)

Diese Informationen über den BadTrans-Wurm stammen aus den Virenbibliotheken von Kaspersky [2] und TrendMicro [3].