Bundesamt für Sicherheit in der Informationstechnik
Mailingliste für Viren-Informationen
VirInfo-2001-11-26
wolfgang.niederau@t-online.de
Viruswarnung - Virusbeschreibung
Name: W32.Badtrans.B@mm
Alias: -
Art: Wurm
Betriebssystem: Microsoft Windows
Verbreitung: mittel
Risiko: mittel
Handlungsbedarf: Update der Virensignaturen
Schadensfunktion: Installiert Trojanisches Pferd
W32.Badtrans.B@mm ist ein MAPI-basierender Wurm, der sich selbst per
Email-Nachricht versendet. Dabei verwendet er unterschiedliche Namen für die
angehängte Datei. Außerdem installiert W32.Badtrans.B@mm ein Trojanisches
Pferd, mit dem Tastatureingaben aufgezeichnet werden.
Der Name der angehängten Datei wird aus folgenden möglichen Namen
zusammengesetzt:
HUMOR
DOCS
S3MSONG
ME_NUDE
CARD
SEARCHURL
YOU_ARE_FAT!
NEWS_DOC
IMAGES
PICS
README
SETUP
Erste Dateinamenerweiterung:
.DOC
.MP3
.ZIP
Zweite Dateinamenerweiterung:
.pif
.scr
Daraus resultieren Dateinamen wie zum Beispiel:
CARD.DOC.PIF
NEWS_DOC.MP3.SCR
Möglicherweise wird die zweite Dateinamenserweiterung nicht angezeigt.
Wird diese Datei ausgeführt, installiert der Wurm das Trojanische Pferd als
Datei "kernel32.exe" im Verzeichnis "\windows\system". Anschließend wird ein
Registry-Key gesetzt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel3
2=kernel32.exe.
Email-Filter sollten so eingestellt werden, dass sie Email-Anhänge mit der
Erweiterung .pif und .scr blockieren.
Ein Update der Viren-Schutzsoftware ist erforderlich.
Fragen richten Sie bitte an mailto:antivir@bsi.de
Virenmeldungen können Sie an mailto:virmeld@bsi.de senden.
_______________________________________________________________
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
Voice +49-228-9582-444 / FAX +49-228-9582-427