Worm/Badtrans.B

Badtrans.B ist ein Wurm, der sich über Email mit Hilfe von MAPI (Messaging Application Program Interface) versendet. Der Name des Attachments setzt sich aus den folgenden drei Teilen zusammen, die in zufälliger Reihenfolge einer Liste entnommen werden:

erster Teil:

FUN
HUMOR
DOCS
S3MSONG
RESUME
IMAGES
PICS
CARD
SETUP
Sorry_about_yersterday
ME_NUDE
YOU_ARE_FAT!
HAMSTER NEWS_DOC
README
SEARCHURL
 
zweiter Teil:

.DOC.
.MP3.

.ZIP.

dritter Teil:

pif
scr

Einen Text im Body oder Betreff der Email gibt es nicht.

Wird das Attachment ausgeführt, kopiert der Wurm sich in das Windows Systemverzeichnis unter dem Namen KERNEL32.EXE und fügt den folgenden Key der Registry hinzu:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
“Kernel32“=“\%WINDIR%\SYSTEM\KERNEL32.EXE

Weiterhin droppt der Wurm die Datei KDLL.DLL in das Windows System Verzeichnis, die einen Trojaner zum Protokollieren von Tastatureingaben darstellt.

 

  weitere Virenbeschreibungen
  Virenkunde