Trojaner Testbericht

seit 24.11.01 neues üles Killervirus im Netz -"W32.Badtrans.B@mm"



Ich bin in den letzten Tagen bald verzweifelt, hatte mir einen üblen Virus auf meinem Computer eingefangen und konnte ihn nicht unschädlich machen. Er brachte schließlich meinen gesamten Computer zum Absturz und Windows 98 ließ sich weder von der Festplatte, noch von der CD starten.

Ich war ratlos und am Ende, schließlich fehlte das
Arbeitsmittel Computer wirklich dringend.
Mir war es ein absolutes Rätsel, wie ich zu diesem Virus gekommen war. Bis dahin fühlte ich mich mit meinem Virenschutzprogramm Norton System Works 2001 von Symantec völlig sicher: Es war so
eingestellt, daß es alle E-Mails vor dem Öffnen auf verdächtige Dateien durchsah, Viren am
Eindringen hinderte und bei jedem Internet-Besuch automatisch den neuesten Virenschutz herunterlud. So dachte ich, kann mir absolut nichts passieren bis zu jenem Moment.

Ich bemühte mich über Tage wirklich sehr intensiv, meinen Computer wiederherzustellen und auch den
Virus loszuwerden.
Alle Bemühungen schlugen fehl:
Mein Virenschutzprogramm erkannte zwar diesen Virus, vermochte ihn aber nicht unschädlich zu machen, ein Besuch bei Symantec auf den
Internetseiten brachte mich auch nicht weiter, da hier alles in Englisch geschrieben steht. Die angegebene Rufnummer des technischen Kundendienstes aus meinem Benutzerhandbuch stimmte
auch nicht mehr, nur eine freundliche Damenstimme auf Band, die auf die Internetseiten verwies.
Bei Vobis konnte mir auch niemand helfen, auch alle meine Bekannten waren ratlos: ein neues Virus, den noch keiner kannte und gegen das die ganze Welt machtlos schien. Ein Mittel dagegen schien noch nicht entwickelt, ohje.

Sollte ich wirklich meine gesamte Festplatte neu formatieren und damit alle wichtigen Daten verlieren? Ein schlimmer Gedanke, nicht die Folgeschäden auszudenken und die viele Zeit
für den Neuaufbau der Festplatte.

Wie durch ein Wunder gelang mir endlich nach vielen Fehlversuchen, Windows 98 neu zu installieren. Meine Daten waren gerettet und ich hatte auch wieder Zugang zum Internet.

Hier wurde ich heute endlich fündig: eine Adresse die Hilfe versprach und auch ein Gegenprogramm zur Abwehr des Virus zu bieten hatte. Ich habe es mir gleich heruntergeladen und meinen Computer damit gereinigt. Der Erfolg wird sich in den nächsten Tagen zeigen. Dennoch möchte ich Euch die wichtigen Informationen sofort - auch ohne Testbestätigung - weiterreichen, in der Hoffnung vielen von Euch damit aus der Not heraus helfen zu können.





Alle wichtigen Infos zum Virus auf einen Blick (aus dem Internet):


Informationen zu Programmen mit Schadensfunktionen

Name: W32.Badtrans.B@mm
Alias: IWorm_Badtrans, I-Worm.Badtrans
Art: Wurm
Betriebssystem: Windows 32 bit
Verbreitung: Versendung von Email-Nachrichten
Risiko: mittel
Handlungsbedarf: ja, Update der Viren-Schutzkennungen
Schadensfunktion: Verschickt Daten per E-Mail, Installation
eines Trojanischen Pferdes


Beschreibung:

W32.Badtrans.B@mm ist ein MAPI-basierender Email-Wurm, der sich selbst per Email-Nachricht versendet. Außerdem installiert er ein Trojanisches Pferd, welches in der Lage ist, Informationen aus dem infizierten System zu stehlen.

Die trojanische Komponente wird als Datei KDLL.DLL in das Verzeichnis WindowsSystem abgelegt.

W32.Badtrans.B@mm selbst kopiert sich als Datei kernel32.exe in dieses Verzeichnis. Danach registriert sich der Wurm im System mit dem Schlüssel:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceKernel32=kernel32.exe


Der Dateiname der angehängten Datei wird zufällig aus einer Liste von Dateinamen gewählt.

FUN
HUMOR
DOCS
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
SEARCHURL
YOU_ARE_FAT!
HAMSTER
NEWS_DOC
New_Napster_Site
README
IMAGES
PICS

Erste von zwei Dateinamenerweiterungen:

DOC
MP3
ZIP

Zweite Erweiterung (wird u.U. nicht angezeigt):

pif
scr

Beispiel:

CARD.DOC.PIF
NEWS_DOC.MP3.SCR

Durch eine bekannte Schwachstelle im Internet Explorer kann es dazu kommen, dass W32.Badtrans.B@mm aktiviert wird, wenn der
Anwender seine Email-Nachricht liest, bzw. die AutoVorschau aktiviert ist.

Diese Schwachstelle kann durch den Patch:

www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

geschlossen werden.

Enfernung:

Aktuelle Viren-Schutzprogramme erkennen diesen Wurm und können ihn auch entfernen.
Ein kostenloses Programm zur Entfernung des Virus ist unter
http://www.bitdefender.com/press/ref2711.phpzu finden.
Zur manuellen Entfernung muß der oben genannte Registry-Key entfernt und die infizierten Dateien gelöscht werden (bei Windows 95/98 im abgesicherten Modus).
Bei Windows NT existiert ein verborgener Prozess \"kernel32\",
den man vorher über den Taskmanager beenden muß.

Email-Filter sollten so eingestellt werden, dass sie Email-Anhänge mit der Erweiterung .pif und .scr blockieren.



Ich hoffe sehr mit diesen Informationen viele von Euch vor Schaden bewahren zu können.
Ich würde mich sehr darüber freuen, von Euch eine Rückmeldung zu bekommen bzw. weitere nützliche Tips und Tricks für jede Art von Virenschutz.

Für alle Eure Infos bin ich Euch sehr dankbar und bedanke mich im voraus dafür.

Bitte sendet Eure Mail an [email protected] oder
[email protected].