Trojaner Testbericht
ab 13,20 €
Billiger bei eBay?
Bei Amazon bestellen
Auf yopi.de gelistet seit 09/2003
Erfahrungsbericht von Chinderella
zerstörerisch/ausspionierend: Virus W32.Badtrans.B@mm
Pro:
-
Kontra:
-
Empfehlung:
Ja
seit 24.11.01 neues üles Killervirus im Netz -"W32.Badtrans.B@mm"
Ich bin in den letzten Tagen bald verzweifelt, hatte mir einen üblen Virus auf meinem Computer eingefangen und konnte ihn nicht unschädlich machen. Er brachte schließlich meinen gesamten Computer zum Absturz und Windows 98 ließ sich weder von der Festplatte, noch von der CD starten.
Ich war ratlos und am Ende, schließlich fehlte das
Arbeitsmittel Computer wirklich dringend.
Mir war es ein absolutes Rätsel, wie ich zu diesem Virus gekommen war. Bis dahin fühlte ich mich mit meinem Virenschutzprogramm Norton System Works 2001 von Symantec völlig sicher: Es war so
eingestellt, daß es alle E-Mails vor dem Öffnen auf verdächtige Dateien durchsah, Viren am
Eindringen hinderte und bei jedem Internet-Besuch automatisch den neuesten Virenschutz herunterlud. So dachte ich, kann mir absolut nichts passieren bis zu jenem Moment.
Ich bemühte mich über Tage wirklich sehr intensiv, meinen Computer wiederherzustellen und auch den
Virus loszuwerden.
Alle Bemühungen schlugen fehl:
Mein Virenschutzprogramm erkannte zwar diesen Virus, vermochte ihn aber nicht unschädlich zu machen, ein Besuch bei Symantec auf den
Internetseiten brachte mich auch nicht weiter, da hier alles in Englisch geschrieben steht. Die angegebene Rufnummer des technischen Kundendienstes aus meinem Benutzerhandbuch stimmte
auch nicht mehr, nur eine freundliche Damenstimme auf Band, die auf die Internetseiten verwies.
Bei Vobis konnte mir auch niemand helfen, auch alle meine Bekannten waren ratlos: ein neues Virus, den noch keiner kannte und gegen das die ganze Welt machtlos schien. Ein Mittel dagegen schien noch nicht entwickelt, ohje.
Sollte ich wirklich meine gesamte Festplatte neu formatieren und damit alle wichtigen Daten verlieren? Ein schlimmer Gedanke, nicht die Folgeschäden auszudenken und die viele Zeit
für den Neuaufbau der Festplatte.
Wie durch ein Wunder gelang mir endlich nach vielen Fehlversuchen, Windows 98 neu zu installieren. Meine Daten waren gerettet und ich hatte auch wieder Zugang zum Internet.
Hier wurde ich heute endlich fündig: eine Adresse die Hilfe versprach und auch ein Gegenprogramm zur Abwehr des Virus zu bieten hatte. Ich habe es mir gleich heruntergeladen und meinen Computer damit gereinigt. Der Erfolg wird sich in den nächsten Tagen zeigen. Dennoch möchte ich Euch die wichtigen Informationen sofort - auch ohne Testbestätigung - weiterreichen, in der Hoffnung vielen von Euch damit aus der Not heraus helfen zu können.
Alle wichtigen Infos zum Virus auf einen Blick (aus dem Internet):
Informationen zu Programmen mit Schadensfunktionen
Name: W32.Badtrans.B@mm
Alias: IWorm_Badtrans, I-Worm.Badtrans
Art: Wurm
Betriebssystem: Windows 32 bit
Verbreitung: Versendung von Email-Nachrichten
Risiko: mittel
Handlungsbedarf: ja, Update der Viren-Schutzkennungen
Schadensfunktion: Verschickt Daten per E-Mail, Installation
eines Trojanischen Pferdes
Beschreibung:
W32.Badtrans.B@mm ist ein MAPI-basierender Email-Wurm, der sich selbst per Email-Nachricht versendet. Außerdem installiert er ein Trojanisches Pferd, welches in der Lage ist, Informationen aus dem infizierten System zu stehlen.
Die trojanische Komponente wird als Datei KDLL.DLL in das Verzeichnis WindowsSystem abgelegt.
W32.Badtrans.B@mm selbst kopiert sich als Datei kernel32.exe in dieses Verzeichnis. Danach registriert sich der Wurm im System mit dem Schlüssel:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceKernel32=kernel32.exe
Der Dateiname der angehängten Datei wird zufällig aus einer Liste von Dateinamen gewählt.
FUN
HUMOR
DOCS
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
SEARCHURL
YOU_ARE_FAT!
HAMSTER
NEWS_DOC
New_Napster_Site
README
IMAGES
PICS
Erste von zwei Dateinamenerweiterungen:
DOC
MP3
ZIP
Zweite Erweiterung (wird u.U. nicht angezeigt):
pif
scr
Beispiel:
CARD.DOC.PIF
NEWS_DOC.MP3.SCR
Durch eine bekannte Schwachstelle im Internet Explorer kann es dazu kommen, dass W32.Badtrans.B@mm aktiviert wird, wenn der
Anwender seine Email-Nachricht liest, bzw. die AutoVorschau aktiviert ist.
Diese Schwachstelle kann durch den Patch:
www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
geschlossen werden.
Enfernung:
Aktuelle Viren-Schutzprogramme erkennen diesen Wurm und können ihn auch entfernen.
Ein kostenloses Programm zur Entfernung des Virus ist unter
http://www.bitdefender.com/press/ref2711.phpzu finden.
Zur manuellen Entfernung muß der oben genannte Registry-Key entfernt und die infizierten Dateien gelöscht werden (bei Windows 95/98 im abgesicherten Modus).
Bei Windows NT existiert ein verborgener Prozess \"kernel32\",
den man vorher über den Taskmanager beenden muß.
Email-Filter sollten so eingestellt werden, dass sie Email-Anhänge mit der Erweiterung .pif und .scr blockieren.
Ich hoffe sehr mit diesen Informationen viele von Euch vor Schaden bewahren zu können.
Ich würde mich sehr darüber freuen, von Euch eine Rückmeldung zu bekommen bzw. weitere nützliche Tips und Tricks für jede Art von Virenschutz.
Für alle Eure Infos bin ich Euch sehr dankbar und bedanke mich im voraus dafür.
Bitte sendet Eure Mail an [email protected] oder
[email protected].
Ich bin in den letzten Tagen bald verzweifelt, hatte mir einen üblen Virus auf meinem Computer eingefangen und konnte ihn nicht unschädlich machen. Er brachte schließlich meinen gesamten Computer zum Absturz und Windows 98 ließ sich weder von der Festplatte, noch von der CD starten.
Ich war ratlos und am Ende, schließlich fehlte das
Arbeitsmittel Computer wirklich dringend.
Mir war es ein absolutes Rätsel, wie ich zu diesem Virus gekommen war. Bis dahin fühlte ich mich mit meinem Virenschutzprogramm Norton System Works 2001 von Symantec völlig sicher: Es war so
eingestellt, daß es alle E-Mails vor dem Öffnen auf verdächtige Dateien durchsah, Viren am
Eindringen hinderte und bei jedem Internet-Besuch automatisch den neuesten Virenschutz herunterlud. So dachte ich, kann mir absolut nichts passieren bis zu jenem Moment.
Ich bemühte mich über Tage wirklich sehr intensiv, meinen Computer wiederherzustellen und auch den
Virus loszuwerden.
Alle Bemühungen schlugen fehl:
Mein Virenschutzprogramm erkannte zwar diesen Virus, vermochte ihn aber nicht unschädlich zu machen, ein Besuch bei Symantec auf den
Internetseiten brachte mich auch nicht weiter, da hier alles in Englisch geschrieben steht. Die angegebene Rufnummer des technischen Kundendienstes aus meinem Benutzerhandbuch stimmte
auch nicht mehr, nur eine freundliche Damenstimme auf Band, die auf die Internetseiten verwies.
Bei Vobis konnte mir auch niemand helfen, auch alle meine Bekannten waren ratlos: ein neues Virus, den noch keiner kannte und gegen das die ganze Welt machtlos schien. Ein Mittel dagegen schien noch nicht entwickelt, ohje.
Sollte ich wirklich meine gesamte Festplatte neu formatieren und damit alle wichtigen Daten verlieren? Ein schlimmer Gedanke, nicht die Folgeschäden auszudenken und die viele Zeit
für den Neuaufbau der Festplatte.
Wie durch ein Wunder gelang mir endlich nach vielen Fehlversuchen, Windows 98 neu zu installieren. Meine Daten waren gerettet und ich hatte auch wieder Zugang zum Internet.
Hier wurde ich heute endlich fündig: eine Adresse die Hilfe versprach und auch ein Gegenprogramm zur Abwehr des Virus zu bieten hatte. Ich habe es mir gleich heruntergeladen und meinen Computer damit gereinigt. Der Erfolg wird sich in den nächsten Tagen zeigen. Dennoch möchte ich Euch die wichtigen Informationen sofort - auch ohne Testbestätigung - weiterreichen, in der Hoffnung vielen von Euch damit aus der Not heraus helfen zu können.
Alle wichtigen Infos zum Virus auf einen Blick (aus dem Internet):
Informationen zu Programmen mit Schadensfunktionen
Name: W32.Badtrans.B@mm
Alias: IWorm_Badtrans, I-Worm.Badtrans
Art: Wurm
Betriebssystem: Windows 32 bit
Verbreitung: Versendung von Email-Nachrichten
Risiko: mittel
Handlungsbedarf: ja, Update der Viren-Schutzkennungen
Schadensfunktion: Verschickt Daten per E-Mail, Installation
eines Trojanischen Pferdes
Beschreibung:
W32.Badtrans.B@mm ist ein MAPI-basierender Email-Wurm, der sich selbst per Email-Nachricht versendet. Außerdem installiert er ein Trojanisches Pferd, welches in der Lage ist, Informationen aus dem infizierten System zu stehlen.
Die trojanische Komponente wird als Datei KDLL.DLL in das Verzeichnis WindowsSystem abgelegt.
W32.Badtrans.B@mm selbst kopiert sich als Datei kernel32.exe in dieses Verzeichnis. Danach registriert sich der Wurm im System mit dem Schlüssel:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceKernel32=kernel32.exe
Der Dateiname der angehängten Datei wird zufällig aus einer Liste von Dateinamen gewählt.
FUN
HUMOR
DOCS
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
SEARCHURL
YOU_ARE_FAT!
HAMSTER
NEWS_DOC
New_Napster_Site
README
IMAGES
PICS
Erste von zwei Dateinamenerweiterungen:
DOC
MP3
ZIP
Zweite Erweiterung (wird u.U. nicht angezeigt):
pif
scr
Beispiel:
CARD.DOC.PIF
NEWS_DOC.MP3.SCR
Durch eine bekannte Schwachstelle im Internet Explorer kann es dazu kommen, dass W32.Badtrans.B@mm aktiviert wird, wenn der
Anwender seine Email-Nachricht liest, bzw. die AutoVorschau aktiviert ist.
Diese Schwachstelle kann durch den Patch:
www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
geschlossen werden.
Enfernung:
Aktuelle Viren-Schutzprogramme erkennen diesen Wurm und können ihn auch entfernen.
Ein kostenloses Programm zur Entfernung des Virus ist unter
http://www.bitdefender.com/press/ref2711.phpzu finden.
Zur manuellen Entfernung muß der oben genannte Registry-Key entfernt und die infizierten Dateien gelöscht werden (bei Windows 95/98 im abgesicherten Modus).
Bei Windows NT existiert ein verborgener Prozess \"kernel32\",
den man vorher über den Taskmanager beenden muß.
Email-Filter sollten so eingestellt werden, dass sie Email-Anhänge mit der Erweiterung .pif und .scr blockieren.
Ich hoffe sehr mit diesen Informationen viele von Euch vor Schaden bewahren zu können.
Ich würde mich sehr darüber freuen, von Euch eine Rückmeldung zu bekommen bzw. weitere nützliche Tips und Tricks für jede Art von Virenschutz.
Für alle Eure Infos bin ich Euch sehr dankbar und bedanke mich im voraus dafür.
Bitte sendet Eure Mail an [email protected] oder
[email protected].
4 Bewertungen, 2 Kommentare
-
13.02.2002, 20:46 Uhr von jankoh1
Bewertung: sehr hilfreichSehr informativ und mit guten Tipps.
-
13.02.2002, 20:43 Uhr von Marc-Gonzo
Bewertung: sehr hilfreichsehr guter bericht! weiter so und gruss marc-gonzo
Bewerten / Kommentar schreiben