Ich kriege den BadTrans.B-Wurm noch immer täglich zugemailt.
Es gibt eine neue Möglichkeit, herauszufinden, ob der Wurm auf deinem System Passwörter erspäht hat und wenn ja, welche.
Noch einmal schnell das Prinzip von BadTrans.B erklärt:
Der Wurm vermehrt sich und startet sich beim Empfang der verseuchten eMail. Dann wird ein keylogger (Tastatur-Eingaben-Aufzeichner) installiert. Dieses Programm wartet auf das Auftauchen bestimmter Webseiten, um dann die Tastatureingabe mitzuschneiden und an eine Liste von Empfängern zu versenden.
Anzunehmen ist, daß die eMail-Adressen im Kreise der Wurm-Programmierer zu suchen sind.
Die mitgeschnittenen Angaben werden verschlüsselt gespeichert, damit man nicht zufällig darüber "stolpert".
Wer wissen wil, welche Passwörter erspäht worden sind (um diese dann flugs ändern zu können) kann die verschlüsselten Angaben jetzt entschlüsseln.
Dieses Entschlüsselungsprogramm ist freeware und liegt als OpenSource vor. OpenSource bedeutet, daß jeder nachschauen kann, wie das Programm programmiert ist und somit die größtmögliche Sicherheit besteht, daß das Programm tatsächlich nur das tut, was es laut Beschreibung tun soll. Die Quelle c't (Heise-Verlag) ist die führende Computerzeitschrift Deutschlands und absolut seriös.
Wie macht man das ?
- Zunächst einmal feststellen, ob überhaupt mitprotokollierte Tastatureingaben auf deinem PC vorhanden sind:
BadTrans legt die ausgespähten Informationen in der Datei C:\windows\system\cp_25389.nls ab
- wenn ja: das Entschlüsselungsprogramm herunterladen:
- Das gepackte Programm entpacken, danach hast du diverse Anleitungs- und Copyright-Dateien sowie die ausführbare Datei DECBAD.EXE (DECODE BADTRANS)
- Das Entschlüsselungsprogramm starten:
Aufruf: DECBAD Eingabedatei [Ausgabedatei],
wobei die Eingabedatei in der Regel cp_25389.nls
ist. Wurde keine Ausgabedatei spezifiziert, wird der
Inhalt auf dem Bildschirm ausgegeben.
Auf gut deutsch muß man eingeben
decbad C:\windows\system\cp_25389.nls
dadurch erscheint die Ausgabe des entschlüsselten Textes auf dem Bildschirm.
Sollte dein Windowsverzeichnis woanders liegen (z.B. C:\winnt\system), muß logischerweise der Pfad entsprechend geändert werden.
Quellen:
ciao
Andreas
Es gibt eine neue Möglichkeit, herauszufinden, ob der Wurm auf deinem System Passwörter erspäht hat und wenn ja, welche.
Noch einmal schnell das Prinzip von BadTrans.B erklärt:
Der Wurm vermehrt sich und startet sich beim Empfang der verseuchten eMail. Dann wird ein keylogger (Tastatur-Eingaben-Aufzeichner) installiert. Dieses Programm wartet auf das Auftauchen bestimmter Webseiten, um dann die Tastatureingabe mitzuschneiden und an eine Liste von Empfängern zu versenden.
Anzunehmen ist, daß die eMail-Adressen im Kreise der Wurm-Programmierer zu suchen sind.
Die mitgeschnittenen Angaben werden verschlüsselt gespeichert, damit man nicht zufällig darüber "stolpert".
Wer wissen wil, welche Passwörter erspäht worden sind (um diese dann flugs ändern zu können) kann die verschlüsselten Angaben jetzt entschlüsseln.
Dieses Entschlüsselungsprogramm ist freeware und liegt als OpenSource vor. OpenSource bedeutet, daß jeder nachschauen kann, wie das Programm programmiert ist und somit die größtmögliche Sicherheit besteht, daß das Programm tatsächlich nur das tut, was es laut Beschreibung tun soll. Die Quelle c't (Heise-Verlag) ist die führende Computerzeitschrift Deutschlands und absolut seriös.
Wie macht man das ?
- Zunächst einmal feststellen, ob überhaupt mitprotokollierte Tastatureingaben auf deinem PC vorhanden sind:
BadTrans legt die ausgespähten Informationen in der Datei C:\windows\system\cp_25389.nls ab
- wenn ja: das Entschlüsselungsprogramm herunterladen:
- Das gepackte Programm entpacken, danach hast du diverse Anleitungs- und Copyright-Dateien sowie die ausführbare Datei DECBAD.EXE (DECODE BADTRANS)
- Das Entschlüsselungsprogramm starten:
Aufruf: DECBAD Eingabedatei [Ausgabedatei],
wobei die Eingabedatei in der Regel cp_25389.nls
ist. Wurde keine Ausgabedatei spezifiziert, wird der
Inhalt auf dem Bildschirm ausgegeben.
Auf gut deutsch muß man eingeben
decbad C:\windows\system\cp_25389.nls
dadurch erscheint die Ausgabe des entschlüsselten Textes auf dem Bildschirm.
Sollte dein Windowsverzeichnis woanders liegen (z.B. C:\winnt\system), muß logischerweise der Pfad entsprechend geändert werden.
Quellen:
ciao
Andreas