# Neuer Wurm "Badtrans"



## Heiko (26 November 2001)

Seit kurzem verbreitet sich der Wurm "Badtrans" recht stark im Internet. Es handelt sich dabei einmal mehr um einen Massenmailer, der sich über Dateianhänge verbreitet und ein Trojanisches Pferd installiert, das die Tastatureingaben aufzeichnen kann.

Der Name der angehängten Datei besteht immer aus drei Teilen:
1. Der eigentliche Dateiname, der aus einer festen Liste ausgewählt wird (FUN, HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER NEWS_DOC, New_Napster_Site, README, IMAGES, PICS)
2. der Erweiterung .doc, .zip, .mp3
3. der zusätzlichen Erweiterung .pif oder .scr

Die beiden letzten Erweiterungen sorgen dafür, daß das Attachment ausführbar wird. Diese werden in der Windows-Standardeinstellung nicht angezeigt!
Beispiel eines Dateinamens: HUMOR.ZIP.scr

Bitte updaten Sie unbedingt Ihre Virensignaturen und öffnen Sie niemals unverlangt zugesandte Dateien!


----------



## Anonymous (26 November 2001)

Hallo,
ich habe folgende Frage zu dem beschriebenen Virus:
1. funktioniert er auch mit Netscape Messenger?
2. ich verwende NAV 2001 (neuste Virendefinitionen). Der scan findet keinen Virus im System.  Beim manuellen Durschuchen der Festplatte habe ich keine INETD.EXE, KERN32.EXE oder ähnliches gefunden, auch keine .pif oder .scr. Bin ich sicher?
3. was bringt im Notfall eine Firewall ZoneAlarm? Sollte die nicht einen Kontaktaufnahme unterbinden können?

Danke!


----------



## Heiko (26 November 2001)

Hallo!

Wenn ich die ganzen Beschreibungen richtig gedeutet habe, dann gilt folgendes:

Du kannst Dich auch über Netscape infizieren, wenn Du den Dateianhang ausführst. Automatisch passiert das auch mit Outlook nicht.

Die Verbreitung funktioniert über Outlook-Mechanismen, sollte also mit Netscape nicht oder nur eingeschränkt funktionieren. 

Ob Zonealarm die eine Verbindung des Trojaners nach außen unterbindet, vermag ich zum jetzigen Zeitpunkt nicht zu sagen.

Wenn Du keine der relevanten Dateien auf der Festplatte findest, dann sollte alles in Ordnung sein. Du solltest vielleicht über ein Update auf NAV 2002 nachdenken, das den Wurm sehr zuverlässig aus der Mail während der Übertragung fischt.


----------



## Anonymous (26 November 2001)

Hallo,

vielen Dank erstmal! Ich muß aber doch noch einmal nachfragen. Sorry, ich bin nicht so der Fachmann in diesen Sachen.
Du schreibst:
Du kannst Dich auch über Netscape infizieren, wenn Du den Dateianhang ausführst. Automatisch passiert das auch mit Outlook nicht.

Ich habe bewußt keinen Dateianhang ausgeführt. Es war kein sichtbarer angehängt. Der Code erschien nur im Body-Text (heißt das so?). Ich habe bei Netscape Messenger das Fenster in zwei Bereiche geteilt. Oben sehe ich die mails, welche eingegangen sind. Zunächst noch fett.
Will ich jetzt eine mail, die mir nicht gefällt, z.B. zum Löschen auswählen,
klicke ich einmal drauf und der Text erscheint automatisch im unteren Fenster.
Ist die Nachricht damit schon geöffnet?

Erst dann wird ganz oben in der Leiste der "Löschen" Button sichtbar und ich kann löschen. 
Eine zweite Möglichkeit ist ja, mit der rechten Maustaste draufzuklicken und dann im aufklapenden Menü "löschen" zu wählen. Klicke ich allerdings mit der rechten Maustaste, zeigt sich die Nachricht ebenfalls automatisch im unteren Fenster.

Grüße!


----------



## Heiko (26 November 2001)

Wenn Du JavaScript für E-Mail ausgeschaltet hast, dann passiert beim Messenger nichts, so lange Du nur die Mail anzeigst (so wie Du beschrieben hast). Badtrans kommt ja als Dateianhang, den Du erst ausführen mußt. So wie Du ein Word-Dokument aus der E-Mail heraus starten kannst, kannst Du das auch mit anderen ausführbaren Anhängen tun.
Viele User machen das einfach bei jedem Dateianhang, der sich in die Inbox verirrt. Das genau sollte man halt nicht tun. Dann ist man schon relativ sicher vor solchen ungebetenen Gästen.

In dem von Dir beschriebenen Fall ist zwar die Mail geöffnet, aber nicht der Dateianhang.


----------



## Anonymous (27 November 2001)

Hallo,

ich wollte nicht einfach so verschwinden und mich nochmal für die Mühe und Auskunft bedanken !! Hatte heute bis jetzt leider keine Zeit dazu.
Toll, daß es solche netten Spezis gibt, die Leuten wir mir die Sache mal verklickern.

Tschüß !!


----------



## Anonymous (29 November 2001)

unter http://www.pkchat.net gibt es ein Tool welches BadTrans unter Win95/98 aufspührt und entfernt.Es steht kostenlos zum Download bereit. Unter Win NT/2K/XP wurde der badTrans-Killer noch nicht getestet.


----------



## Heiko (29 November 2001)

Ein weiteres Tool zur Entfernung gibt es unter

http://www.bitdefender.com/html/free_tools.php


----------



## Anonymous (29 November 2001)

Es ist falsch das BadTrans sich nur bei öffnen des Anhangs verbreitet! Beim öffnen der Mail in Outlook express öffnet sich ein download fenster das sich kurz danach wieder schließt - und schon ist man infiziert!

Ich wurde in den letzten 2 Tagen 2 mal infiziert, aber das Anti Tool scheint ganz gut zu helfen.



Mit freundlichen Grüßen,
Stephan Muller
[email protected]


----------



## Heiko (29 November 2001)

Schon, aber die Frage war nach dem Netscape Messenger.

Die beschriebene Installation beim Anzeigen tritt meines Wissens nur bei Outlook auf, nicht beim Messenger. Für Outlook hast Du freilich recht!


----------



## Anonymous (3 Dezember 2001)

der Badtrans legt eine datei an: kdll.dll wo die keys mitgeloggt werden suche dochmal nach dieser datei


----------

