JCP Header Logo
Menü

Archiv


30.07.2015 - 12:39:30
Schutzmaßnahmen gegen den E-Mail-Wurm "BadTrans"
pic-100
(... und andere)
Das Bundesamt für Sicherheit (http://www.bsi.de/) in der Informationstechnik empfiehlt: Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde. Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
Beschreibung

Verschiedene Hersteller von Anti-Viren-Programmen warnen vor mehreren Varianten des E-Mail-Wurms BadTrans. Im Text der HTML-Mail kann "Take a look to the attachment" stehen, das Subject ist leer oder enthält "Re:" und die Bezeichnung des Anhangs besteht neben einem interessant klingenden Dateinamen aus der Extension ".doc", ".mp3" oder ".zip" sowie der
Endung ".pif" oder ".scr".
Mögliche Dateinamen könnten:
"YOU_are_FAT!.TXT.pif"
"New_Napster_Site.DOC.scr"
oder ähnliche sein. Auf ungepatchten Systemen nutzt der Wurm auch die IFRAME-Sicherheitslücke. Beim Ausführen des Attachments durch unvorsichtige Benutzer erscheint eine Dialogbox "Install error" mit dem Inhalt "File data corrupt: probably due to a bad data transmission or bad disk access". Der Wurm kopiert sich selbst als "INETD.EXE" ins Windows-Verzeichnis, installiert eine Backdoor als "KERN32.EXE", "Kernel32.exe" oder "Kernel.exe" und den Key-Logger PWS-AV als "HKSDLL.DLL" oder "KDLL.DLL" im System-Ordner und sorgt über Einträge in der Win.ini und in der Registry für die automatische Ausführung derselben beim Systemstart.
BadTrans verschickt sich dann an Absender unbeantworteter E-Mails aus dem Outlook-Verzeichnis und soll die IP-Adresse des befallenen Rechners an den Autor übermitteln, der dann über die Backdoor Zugriff auf persönliche Daten und über den Key-Logger auch auf Passworte erlangen könnte. Die neuesten Signatur-Dateien der gängigen Virenscanner können den Schädling aufspüren und vernichten.Weitere Hinweise zu Viren und Würmern gibt es auf der c't-Antivirenseite (http://www.heise.de/ct/antivirus/).
Manuell entfernen
Zur manuellen Entfernung kann man die genannten Dateien unter MS-DOS löschen und danach die Einträge HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\kernel32=kern32.exe sowie HKEY_USERS\Software\Microsoft\Windows NT\CurrentVersion\Windows\RUN=%WinDir%\INETD.EXE in der Registry und gegebenenfalls der Win.ini entfernen. Einfacher ist es freilich, gar nicht erst derartige Attachments auszuführen. (Diese Inhalte stammen von der Webseite www.heise.de lab/c't)
Update
InternetExplorer 5.X. immer über Windowsupdate aktualisieren.
Link zu Microsoft (Microsoft rät wichtige Patches unbedingt sofort zu installieren.)
JCP - Intert@inment
JCP-Unternehmungen, 91336 Heroldsbach, Deutschland | Impressum, Datenschutz und Rechtliches