H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de

Virenbeschreibung

av_shad.gif (1951 Byte)
 

Der Email-Wurm Worm/Badtrans

Bei dem Internetwurm Badtrans handelt es sich um eine Win32 Anwendung, welche sich mit Hilfe von Emails über Microsoft Outlook oder Outlook Express verbreitet. Der Wurm versendet ein infiziertes Attachment (PE EXE Datei), welches eine Wurm- und eine Trojanerkomponente beinhaltet.

Wenn die infizierte Datei ausgeführt wird, installiert Worm.Badtrans seine Komponenten auf dem System. Der Wurm kopiert sich selbst als INETD.EXE in das Windows Verzeichnis. Die Trojaner Komponente wird mit dem Namen HKK32.EXE in das Windows Verzeichnis kopiert und wird ausgeführt. Der Trojaner verschiebt sich in das Windows System Verzeichnis mit dem Dateinamen KERN32.EXE und installiert im selbigen Verzeichnis die Datei HKSDLL.DLL.

Der Wurm registriert sich in die WIN.INI unter Windows 9x mit dem Eintrag :

run=C:\WINDOWS\INETD.EXE

während unter Windows NT / 2000 der Wurm folgender Registry Eintrag vornimmt:

HKCU\Software\Microsoft\Windows NT\Current Version\Windows
RUN = C:\WINDOWS\INETD.EXE

Der Trojaner registriert sich mit einem Registry Eintrag in RunOnce:

HKLM\Software\Microsot\Windows\Current Version\RunOnce\
kernel32 = kern32.exe

Mit diesem Eintrag wird der Trojaner bei jedem Start von Windows automatisch geladen.

Um seine Aktivitäten während der Infektion des Systems zu verbergen, zeigt der Wurm ein gefälschtes Fenster mit dem Inhalt:

Install error

  File Data corrupt

  Probably due to bad data transmission or bad disk access.

Der Wurm versendet sich nicht gleich nach dem Infizieren des Systems, sondern wartet den nächsten Start von Windows ab. Er registriert sich selbst als versteckten Service Prozess und warten 5 Minuten, bevor seine Routine gestartet wird. Der Wurm öffnet alle gelesenen oder ungelesenen Emails, die im Microsoft Outlook oder Outlook Express stehen und versendet diese mit dem Originaltext und einem infizierten Attachment zurück an den Absender.

Die Attachments können folgende Namen haben:

images.pif
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
Pics.ZIP.scr
README.TXT.pif
new_Napster_Site.DOC.scr
S3msong.MP3.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Humor.TXT.pif
fun.pif
Sorry_about_yesterday.DOC.pif
docs.scr

 

  weitere Virenbeschreibungen
  Virenkunde