Neuer Trojaner und wie man sich schützt

Jan-Frederik Timm
0 Kommentare

Unter dem Namen "BadTrans" macht derzeit ein äußert gefährlicher EMail Wurm seine Runde durch das Internet. Die in HTML verfasste EMail enthält meist den verlockenden Spruch "Take a look to the attachment" und besitzt entweder ein leeres, oder ein nur mit "Re:" gefülltes Subject.

Mögliche Attachment Namen lauten "YOU_are_FAT!.TXT" oder "New_Napster_Site.DOC" und verfügen wahlweise über die Endung .mp3, .doc, .pif, .scr oder .zip. Während der "Installation" erscheint das Popup "Install error" mit dem Inhalt "File data corrupt: probably due to a bad data transmission or bad disk access". Um sich im befallenen System einzunisten, kopiert sich der Wurm als "INETD.EXE" in den Windows-Ordner und erstellt Backdoors als "KERN32.EXE", "Kernel32.exe" oder "Kernel.exe". Darüber hinaus installiert es einen KeyLogger als "HKSDLL.DLL" oder "KDLL.DLL" im System-Ordner. Über Einträge in der Win.ini und der Registry werden sämtliche Komponenten in den Autostart verfrachtet. Der Wurm verbreitet sich, in dem er sich selbständig an die Adressen unbeantworteter EMails aus Outlook verschickt. Auf befallenen Rechnern schickt er die IP-Adresse an den Autor und ermöglicht diesem somit den Zugang zu Trojaner und KeyLogger. Die führenden Hersteller von Anti-Viren Software haben jedoch bereits reagiert, nach einem Update sollte die Engine "BadTrans" finden. Um den Wurm manuell zu entfernen, müssen besagte Files im DOS-Modus gelöscht und die Einträge "HKLMSOFTWAREMicrosoftWindowsCurrentVersion<1sp>RunOncekernel32=kern32.exe" und "HKEY_USERSSoftwareMicrosoftWindows NTCurrentVersionWindowsRUN=%WinDir%INETD.EXE" aus der Registry/Win.ini entfernt werden. (<1sp> steht für Leerzeichen)