Hallo Alfisti,

mein Rechner wurde am Montag mit dem oben genannten Wurm infiziert. Er versteckt sich in einer Emailanlage und schreibt sich, sobald er auf dem Rechner ist, in wichtige Systemdateien. Es ist noch nicht mal erforderlich die Anlage zu öffen - er nistet sich auch so ein. Es handelt sich um einen Spionagewurm, der nicht destruktiv arbeitet, sondern versucht Passwörter und persönliche Daten auszuspionieren. Er versendet sich selbsttätig an alle im Adressbuch stehenden Adressen. Hier nochmals Entschuldigung an Andre`, Gottseidank habt Ihr eine gute Firewall.
Ich habe den Wurm über Norton Antivirus 2002 von Symantec gefunden und isolieren können. Die infizierten Dateien konnten weder repariert, noch gelöscht werden. Aber bei www.bitdefender.com gibt es das Programm AntiBadB.exe, damit können die infizierten Dateien bereinigt werden, ohne grossen Aufwand!
Viele Grüsse nach überstandener Wurmkur

Ciao Carlo

Sophos Antivirus und Kaspersky Labs meldeten bereits am 24.11.01
einen neuen Wurm mit dem Namen Badtrans.B, der sich über MAPI kompatible
eMail-Clienten verbreitet. Der Wurm wird als Anhang einer eMail
verschickt, die keinen Text besitzt. Die angehängte Datei hat eine
doppelte Dateiendung und besitzt einen zufällig gewählten Namen, der
aus folgenden Begriffen zusammengefügt wird:

FUN
HUMOR
DOCS
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
SEARCHURL
YOU_ARE_FAT!
HAMSTER NEWS_DOC
New_Napster_Site
README
IMAGES
PICS

Die erste Dateiendung kann folgende Bezeichnungen tragen:

DOC.
MP3.
ZIP.

Die letzte Dateiendung kann folgende Bezeichnungen tragen:

pif
scr

Der Wurm kopiert sich in das Windows-Systemverzeichnis mit dem Namen:
KERNEL32.EXE (nicht dll!!) und modifiziert einen Eintrag in der
Windows-Registry unter:

HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\RunOnce so that

Der Wurm wird beim nächsten Systemstart aktiviert und setzt dabei einen
weiteren Trojaner mit dem Namen Trojan Troj/PWS-AV frei. Dieser Trojaner
wird zur Spionage von Passwörtern benutzt.

Benutzer von Outlook und Outlook Express sollten die automatische
Vorschau deaktivieren und die von Microsoft angebotenen Patches
installieren. Beiden Clients wird dann der Zugriff auf potentiell
gefährliche Dokumente wie zum Beispiel doppelte Dateiendungen verweigert.

Update
Offensichtlich ist Badtrans.B fehlerhaft programmiert oder es war so
gewollt. Badtrans.B durchsucht nach der Infektion das Adressbuch und
verschickt sich als Kopie an alle dort gefundenen Adressen. Der Wurm
setzt in den eMails allerdings vor der Absender-Adresse einen Unterstrich. Falls Sie also auf ein solches eMail direkt mit einer Warnung vor dem Wurm antworten wollen (weil es vielleicht ein Freund oder Bekannter ist), müssen Sie den Unterstrich vor der Empfänger-Andresse entfernen, sonst kommt Ihre Warnung nicht an.

Weitere Informationen finden Sie unter:

http://germany.trendmicro.de/vinfo/virusEncyclo/default2.asp?m=q&virus=badtr

http://www.sophos.de/

http://www.kaspersky.com/

Falls Sie mit Outlook oder Outlook Express arbeiten, besuchen Sie bitte
unsere Übersichtsseite für Mirosoft Sicherheitspatches:

http://www.bluemerlin-security.de/Bericht_Sicher_im_Netz_unterwegs_Patches .php3

Wenn Outlook und Outlook Express mit den Patches versehen werden,
werden potentiell gefährliche Anhänge nicht mehr automatisch ausgeführt.
Ebenso sollten Sie auf die automatische Vorschaufunktion
verzichten, da Badtrans.B sich bereits dort selbst ausführt.


quelle IT-Secure-x.net SONDERNEWSLETTER Nr. 28

mfg tahw

Hallo tahw,

Du scheinst Dich ja echt mit mit Viren und Würmern auszukennen!
Genau wie Du gesagt hast, wurde der Wurm bei mir am 24.11.01 aktiv. Er war versteckt in einer Datei mit dem Namen Hamster.doc, oder so ähnlich. Ich habe die Email zwar am selben Tag gelöscht, der Wurm hatte sich aber schon in meinem System eingenistet.
Das Ärgerlichste ist vor allem die Zeit, die dadurch verloren ging. Ich habe insgesamt 2,5 Tage gebraucht, um das Ding loszuwerden. Ich bin bei diesen Sachen aber auch nicht so fit wie Du. Ausgerechnet an dem Tag, an dem der Wurm aktiv wurde, liefen bei mir 10 Auktionen aus und ich konnte meine Kunden nicht erreichen, die Post von eBay kam nicht an und ich wurde immer nervöser...
Interessant fand ich, dass nicht nur Leute aus meinem Adressbuch angeschrieben wurden. Der Wurm hat sogar versucht sich an Adressen zu verschicken, deren Homepages ich in meinen Favoriten abgelegt hatte.
Trotz des ganzen Ärgers, ist man am Ende doppelt froh, wenn das Ding vom Rechner entfernt ist.
Wurmfreie Grüsse aus dem verregneten Aachen

Ciao Carlo

Hi Carlo !

mich hat der Wurm von dir auch erreicht, und ich glaube, du hast meine mail-Adresse bestimmt auch nicht in deinem Adressbuch, oder ?

MfG
Tobi

Hallo Tobi,

nein, ich habe Deine Adresse nicht bei mir gespeichert. Trotzdem hoffe ich, dass der Post von Tahw und mir Dir weiterhilft.


Ciao Carlo

Der Wurm hat mich nur erreicht. Ich habe ihn gleich eliminiert. Da ich die mail an webmaster@alfa-156.de bekommen habe und diese Adresse nur auf meiner Homepage angebe kann man also davon ausgehen, das der Wurm wirklich die Bookmarks durchsucht.

MfG
Tobi