Neue Informationen zum 'BadTrans.B'-Wurm

Ich kriege den BadTrans.B-Wurm noch immer täglich zugemailt.

Es gibt eine neue Möglichkeit, herauszufinden, ob der Wurm auf deinem System Passwörter erspäht hat und wenn ja, welche.

Noch einmal schnell das Prinzip von BadTrans.B erklärt:
Der Wurm vermehrt sich und startet sich beim Empfang der verseuchten eMail. Dann wird ein keylogger (Tastatur-Eingaben-Aufzeichner) installiert. Dieses Programm wartet auf das Auftauchen bestimmter Webseiten, um dann die Tastatureingabe mitzuschneiden und an eine Liste von Empfängern zu versenden.

Anzunehmen ist, daß die eMail-Adressen im Kreise der Wurm-Programmierer zu suchen sind.

Die mitgeschnittenen Angaben werden verschlüsselt gespeichert, damit man nicht zufällig darüber "stolpert".

Wer wissen wil, welche Passwörter erspäht worden sind (um diese dann flugs ändern zu können) kann die verschlüsselten Angaben jetzt entschlüsseln.

Dieses Entschlüsselungsprogramm ist freeware und liegt als OpenSource vor. OpenSource bedeutet, daß jeder nachschauen kann, wie das Programm programmiert ist und somit die größtmögliche Sicherheit besteht, daß das Programm tatsächlich nur das tut, was es laut Beschreibung tun soll. Die Quelle c't (Heise-Verlag) ist die führende Computerzeitschrift Deutschlands und absolut seriös.

Wie macht man das ?

- Zunächst einmal feststellen, ob überhaupt mitprotokollierte Tastatureingaben auf deinem PC vorhanden sind:
BadTrans legt die ausgespähten Informationen in der Datei C:\windows\system\cp_25389.nls ab

- wenn ja: das Entschlüsselungsprogramm herunterladen:

- Das gepackte Programm entpacken, danach hast du diverse Anleitungs- und Copyright-Dateien sowie die ausführbare Datei DECBAD.EXE (DECODE BADTRANS)

- Das Entschlüsselungsprogramm starten:
Aufruf: DECBAD Eingabedatei [Ausgabedatei],
wobei die Eingabedatei in der Regel cp_25389.nls
ist. Wurde keine Ausgabedatei spezifiziert, wird der
Inhalt auf dem Bildschirm ausgegeben.

Auf gut deutsch muß man eingeben
decbad C:\windows\system\cp_25389.nls
dadurch erscheint die Ausgabe des entschlüsselten Textes auf dem Bildschirm.

Sollte dein Windowsverzeichnis woanders liegen (z.B. C:\winnt\system), muß logischerweise der Pfad entsprechend geändert werden.

Quellen:


ciao
Andreas

Andreas, wenn ich den Pfad Datei C:\windows\system\cp_25389.nls
Bei mir eingebe, will er von mir wissen mit welchem Program ich das öffnen will? Und dann??

Gruß Lupo


Du bist stets für das verantwortlich, was Du Dir vertraut gemacht hast.
Antoine de Saint-Exupéry

Hallo Lupo,
da die Datei verschlüsselt ist, macht es keinen Sinn, sie mit irgendeinem Programm öffnen zu wollen.
Man könnte sie mit dem Windows-Editor (notepad.exe) öffnen oder mit wordpad.exe. Aber man wird nur verschlüsselten Kauderwelsch zu sehen bekommen, das kann man sich sparen.

Wenn du mir vertraust (wir kennen uns ja) kannst du mir die Datei mal mailen, ich sag dir dann deine Passwörter am Telefon durch

Nee, eigentlich ist das Thema gar nicht lustig, sowas zu programmieren, ist kriminell.

Du mußt dir dies DECBAD-Programm runterladen und auspacken (mit WinZip oder so). Dann macht du ein DOS-Fenster auf (Start | Programme | (DOS-)Eingabeaufforderung).
Dann wechselt du dorthin, wo das DECBAD-Programm liegt, beispielsweise C:\temp.
Dann den vorhin genannten Aufruf eintippen:
decbad C:\windows\system\cp_25389.nls

Nun sollte das Decodierungsprogramm auf dem Bildschirm anzeigen, was aufgezeichnet wurde.

ciao
Andreas

Hi Andreas,

danke Dir mal für Deine tollen Tips immer!!

Ich habe die Datei jetzt mal über die Suchen-Funktion in Windows gesucht und es hat nix gefunden - ich bin mir jetzt also recht sicher, daß ich zumindest momentan noch nichts auf dem PC hab *puuuh*

Da fällt mir wirklich schon ein Stein vom Herzen

DANKE Andreas

Lieben Gruß




Marion und ihre 2 Höllenhunde Tau & Tiptoe

Hallo Andreas,

habe mal nachgeguckt, Dateien cp***.nls hab ich dort jede Menge, aber nicht cp_25389.nls.

Können die anderen auch gefährlich sein ? Kann man die auch mit dem Programm einsehen ?


-----------------------

Wolfs

Internet, Web-Präsenz, ISDN, DSL, Yello-Strom, weltweite 0700-Vanity-Nr, Handys
gibt es in Wolfs

Nächte Sitzung AK Tierschutz Mi. 12.12. 18:00 Uhr Nds. Landtag Han.: Artgerechte (?) Haltung von Zirkustieren

cu Wolf

Also wenn ich den von Dir angegebenen Pfad "abgehe" habe ich tatsächlich so eine Datei auf unserem Rechner, ich habe mir das Programm runtergeladen und es mit Winzip geöffnet. Es öffenete sich von dann von selbst das DOS-Fenster, aber mir wurde nur Eingabedatei [Ausgabedatei] angezeigt und keine Paßwörter. Nun muss ich aber dazu sagen, dass ich auch keine Paßwörter "per Hand" eingeben muss (also auch noch keine eingegeben habe seit dem Virus und seit der Beseitigung des Virus).

Ist das jetzt einfach eine leere Datei oder können (trotz Entfernung von kdll.dll und kernel32.exe) die Passwörter mitgeloggt werden?!

Liebe Grüße

Sunny73 & Staff-Bull Darius




[email protected]

follow me Sind wir nicht alle ein bisschen Kampfschmuser?!

Wenn Arbeit was Gutes wäre, würden die Bonzen sie für sich behalten

<BLOCKQUOTE><font size="1" face="Tahoma, Verdana, Arial">Zitat:</font><HR>Original erstellt von Sunny73:
...tatsächlich so eine Datei auf unserem Rechner, ich habe mir das Programm runtergeladen und es mit Winzip geöffnet. Es öffenete sich von dann von selbst das DOS-Fenster, aber mir wurde nur Eingabedatei [Ausgabedatei] angezeigt
[/quote]

- Die Datei muß exakt dem angegebenen Namen entsprechen. Ähnliche Dateinamen sind echte Windows-Dateien, die man weder löschen sollte noch stehen da Passwörter drin. Der Autor hat anscheinend alle Namen der Virus-Dateien getarnt, indem er die Namen so ähnlich gewählt hat wie tatsächlich existierende Dateien.

- Das DECBAD-Programm ist ein DOS-Programm ohne jeden Komfort. Es verlangt zwingend, daß man Parameter mit übergibt. Parameter in diesem Fall sind
Eingabedatei [Ausgabedatei] .
Das bedeutet, zwingend muß Eingabedatei angegeben werden, das heißt hier
C:\windows\system\cp_25389.nls

Optional (wenn man will) kann man auch noch zusätzlich die [Ausgabedatei] .
angeben. In diesem Fall werden die Ausgaben nicht auf dem Bildschirm ausgegeben, sondern in eine Datei geschrieben, den Namen für diese Datei muß man sich selbst ausdenken und eingeben, z.B. passwrd.txt.

Wichtig: Da es ein DOS-Programm ist, gelten die Beschränkungen für DOS-Dateinamen, also die 8.3-Regel. Maximal acht Zeichen vor dem Punkt, maximal drei Zeichen nach dem Punkt - passwörter.txt wäre ein ungültiger Dateiname nach dieser Regel.

<BLOCKQUOTE><font size="1" face="Tahoma, Verdana, Arial">Zitat:</font><HR>
Ist das jetzt einfach eine leere Datei oder können (trotz Entfernung von kdll.dll und kernel32.exe) die Passwörter mitgeloggt werden?!
[/quote]

- Was wirklich drinsteht, zeigt dir das DECBAD-Programm an.
- Es werden nach Desinfektion des Systems keine weiteren Tastatureingaben aufgezeichnet. Diese ganze Aktion hat nur den Sinn, daß man erkennen kann, ob ein Schaden entstanden ist durch erspähte und weiterversandte Passwörter. Wenn ja: Sofort die Passwörter ändern, wenn nein: alles in Butter.

- wenn du sowieso nie Passwörter eingibst, dann kann auch nie eines von der Tastatur her aufgezeichnet worden sein.
Die Erkennungsroutine für die Funktion "jetzt wird ein Passwort eingetippt" ist schlecht programmiert. Der Virus orientiert sich an der Überschrift der gerade aktuellen Internetseite. Wenn diese Überschrift (z.B. jetzt bei mir gerade "Übersicht - Antwort auf ein Thema") bestimmten Kriterien entspricht, dann wird die Tastatur überwacht, sonst nicht. Die Kriterien sind die ersten drei Zeichen der Überschrift. Wenn diese drei Zeichen in der folgenden Tabelle entahlten sind, dann wird angenommen, daß es sich jetzt "lohnt", mitzuschneiden:
<BLOCKQUOTE><font size="1" face="Tahoma, Verdana, Arial">Zitat:</font><HR>
er Wurm überprüft im Sekundenabstand die Titelzeile des aktuellen Fensters. Nur wenn deren
Inhalt mit den drei Buchstaben

LOG
PAS
REM
CON
TER
NET

beginnt, startet er die Aufzeichnungsfunktion und protokolliert für 60 Sekunden alle
Tastatureingaben mit. Diese versendet er an eine E-Mail-Adresse aus einer eingebauten Liste
[/quote]
Quelle:

ciao
Andreas

Hallo Andreas,

also, es ist EXAKT DIESE Datei, die auf dem Rechner ist.

Wenn ich den Winzip offen habe und auf Decbad klicke öffnet sich ein Dos-Fenster mit folgendem Text:
DECBAD - Decodiert die Badtrans.B cp_25389.nls Keylogger-Datei
Copyright &lt;c&gt; 2001 c't &lt;www.heise.de/ct&gt;
Autor: Andreas Marx &lt;[email protected],
Aufruf: DECBAD Eingabedatei [Ausgabedatei]

der Cursor blinkt dann unter diesem (o. a.) Text. Eingeben kann ich da nirgendwo was.

WAS MUSS ICH TUN *heul*

Unser Rechner fährt seit dem Virus nicht mehr richtig runter (das Problem konnte noch nicht gelöst werden). Wenn ich in unserem Verkaufsprogramm (läuft über DOS in Win9 etwas ausdrucken will wird mir Fehler angezeigt und ich werde aufgefordert, den Rechner runterzufahren. Das mache ich auch, aber er fährt nicht richtig runter. Dann nach dem "Warmstart" läuft er wieder und druckt auch munter alles brav aus (bis jetzt).

Mir fällt gerade ein, ein Paßwort musste ich doch schon eigeben, dies hab ich aber nicht online gemacht. Online gehe ich ja nur, um E-Mails abzurufen, oder im Forum zu stöbern

Liebe Grüße

Sunny73 & Staff-Bull Darius




[email protected]

follow me Sind wir nicht alle ein bisschen Kampfschmuser?!

Wenn Arbeit was Gutes wäre, würden die Bonzen sie für sich behalten

Hallo Sunny,
ja, das ist halt ein DOS-Programm, so wie das vor 10 Jahren Standard war. Da war noch nichts mit Kästchen anklicken oder so.

Grundsätzlich bedeutet eine Schreibweise wie z.B.
programm.exe Parameter1 [Parameter2]
folgendes:
Man muß im DOS-Fenster alle Bestandteile eintippen, bevor man die Eingabetaste drückt.

Fehlt etwas, gibt das Programm eine Fehlermeldung oder eine primitive Kurzanleitung aus, welche Eingaben erwartet werden.

Im konkreten Fall ist der Programmname decbad.exe,
DECBAD Eingabedatei [Ausgabedatei]
und das bedeutet:
der erste Parameter ist verpflichtend,
der zweite Paramter ist optional (nicht verpflichtend) und dort kann man einen Dateinamen eingeben, wenn man die AUsgabe speichern will. Wird der zweite Parameter weggelassen, dann erfolgt die AUsgabe auf dem Bildschirm statt in eine Datei.

Meiner Meinung nach die einfachste Methode, um das zu machen ist so:
Die heruntergeladene ZIP-Datei auspacken udn die Programmdatei decbad.exe in das Windows-System-Verzeichnis speichern. Dadurch erspart man sich im Folgenden das Eintippen der Pfade, denn bei dieser Vorgehensweise liegen alle benötigten Dateien im selben Pfad, das ist also am einfachsten.

Dann DOS-Fenster aufmachen und in das betreffende Verzeichnis wechseln.

Sollte die Anzeige C:\windows\system lauten, bist du schon richtig. DAnn weiter im übernächsten Absatz.

Sollte etwas anderes als aktuelle Pfadangabe stehen, dann mußt du wie folgtdas Verzeichnis wechseln:
cd\ [Eingabetaste]
cd windows [Eingabetaste]
cd system [Eingabetaste]
Jetzt sollte im DOS-Fenster der Pfad C:\windows\system angezeigt werden.

Eintippen:
decbad cp_25389.nls [Eingabetaste]
für Bildschirmausgabe

oder
decbad cp_25389.nls pass.txt [Eingabetaste]
für Speicherung der Passworte in die Datei pass.txt

ciao
Andreas

Also bei mir funzt das nicht so wie Du geschrieben hast....

Sunny73 & Staff-Bull Darius




[email protected]

follow me Sind wir nicht alle ein bisschen Kampfschmuser?!

Wenn Arbeit was Gutes wäre, würden die Bonzen sie für sich behalten

<BLOCKQUOTE><font size="1" face="Tahoma, Verdana, Arial">Zitat:</font><HR>Original erstellt von Sunny73:
Also bei mir funzt das nicht so wie Du geschrieben hast....

[/quote]

Hmm...

Was passiert denn, wenn du
decbad cp_25389.nls [Eingabetaste]
eintippst?



ciao
Andreas

Hi Andreas,

ich muß es doch noch mal hochschieben

Ich habe heute noch mal ein AV-Update runtergeladen und nachdem er bisher (trotz aktueller Virendatenbank) nichts gefunden hatte sagte er mir nach dem Programm-Update auf einmal, der BadTrans.B2 hätte die Datei Docs.doc.pif zerstört. Die Datei wurde dann gelöscht.

Frage:
- Wie kann er die Datei zerstören, wenn ich den Virus nicht drauf habe/hatte?

- Ist das eine wichtige Datei? (Ich vermute eher nicht wegen der doppelten Endung?

Noch mal danke an Dich

Lieben Gruß



Marion und ihre 2 Höllenhunde Tau & Tiptoe
]http://www.pittys.de/bilder/weihnacht/weihnachtsmann/santa01.gif[/img]

<BLOCKQUOTE><font size="1" face="Tahoma, Verdana, Arial">Zitat:</font><HR>Original erstellt von Marion:
...sagte er mir nach dem Programm-Update auf einmal, der BadTrans.B2 hätte die Datei Docs.doc.pif zerstört. Die Datei wurde dann gelöscht.

Frage:
- Wie kann er die Datei zerstören, wenn ich den Virus nicht drauf habe/hatte?

- Ist das eine wichtige Datei? (Ich vermute eher nicht wegen der doppelten Endung?
[/quote]

Hm... ich kann natürlich nur vermuten:
Fangen wir mal mit dem Dateinamen an.
Diese Doppelendung ist völlig unüblich und macht gar keinen Sinn, außer man will absichtlich jemanden verwirren und über die Tatsache hinwegtäuschen, daß so eine Datei mit der Endung PIF eine ausführbare Datei ist.
Somit ist zu mindestens 99% davon auszugehen, daß die Datei nur Schadfunktion, aber keine Wichtigkeit hatte.

Warum wurde sie erst jetzt erkannt?
Offensichtlich wurde die Datei bereits desinfiziert. Da es sich offenbar um eine reine Schaddatei handelte, wird in der Datei auch ausschließlich bösartiger Code dringesteckt haben (im Gegensatz zu einer Nutzdatei, die evtl. eine Schadfunktion angehängt haben könnte).
Wenn ich eine Datei desinfiziere, bleibt im Idealfall das übrig, was vorher als Nutzinhalt drinsteckte. Daher ist es sinnvoll, eine Datei zu desinfizieren statt zu löschen. Beispielsweise eine Examensarebit, in die sich ein Word-Makrovirus eingenistet hat, sollte man nicht löschen (es wäre die Arbeit vieler Wochen dahin) sondern nur desinfizieren.
Wenn nun aber ausschließlich bösartiger Code drinsteckt und man den rausnimmt, dann bleibt praktisch nichts übrig, außer Dateianfangsmarkierung udn Dateiendemarkierung und vielleicht noch ein bißchen Copyrighthinweise oder ähnlicher Ballast.

Die erste Version der Virenerkennungsdatei für das AV-Programms mußte schnell fertig werden und schnell auf den Markt, weil die virusgeplagten Leuten schon drängelten. Die Nachfolgeversion ist mehr in Ruhe und sorgfältiger entwickelt worden und prüft nun zusätzlich zur Frage "befallen oder nicht befallen" auch noch, ob die Datei erhaltenswert ist oder eine reine Zombiedatei (leere Dateihülle, keine Funktion, kein Nutzinhalt) ist. Daher wird nun die Datei als "zerstört" gemeldet und die Löschung empfohlen, was bei derartigen Dateien auch absolut richtig ist.


ciao
Andreas

Ich bin doch immer wieder begeistert, wie super Du das alles erklären kannst *pc-blondbin*

DANKE!

Lieben Gruß



Marion und ihre 2 Höllenhunde Tau & Tiptoe
]http://www.pittys.de/bilder/weihnacht/weihnachtsmann/santa01.gif[/img]

nochmal hochschieb...
für NINCHEN...

HAllo Ninchen,
wenn du schon mehrmals infiziert warst (äh, dein PC natürlich), dann schau mal mittels des oben genannten Programms und mit der oben beschriebenen Vorgehensweise nach, welche Passwörter bei dir schon ausgespäht worden sind.

Wenn auch die Wahrscheinlichkeit relativ gering ist, daß ausgerechnet deine Passwörter mißbraucht werden, denn die Virenschreiberlinge dürften einige zehtausend bis hunderttausend eMails mit erspähten Passwörtern bekommen haben - mir wär daseinfach unbehaglich, wenn ich weiß, daß mein geheimes Passwort an IRGENDWEN gemailt wurde.

Die Programmierer von BadTrans.B scheinen ihr Handwerk gut zu können (sie machen natürlich kriminelle Sachen, aber ich muß zugeben, der Wurm läuft stabiler und zuverlässiger als manche gekauften Programme) - vielleicht haben sie für sich selber ein Tool geschrieben, was die per eMAil erhaltenen Passwörter automatisch sortiert und evtl. sogar automatisch eintippt.


ciao
Andreas