Seit kurzem ist ein neuer gefährlicher E-Mail Virus Namens „BadTrans“ im Umlauf. Auf heise.de wird berichtet, dass es sich hierbei um einen Email-Wurm handelt. Er installiert einen Trojaner und KeyLogger, verschickt dann die IP-Adressen des befallenen Computers, über die dann der Autor eine Zugriffmöglichkeit hat und eure Passwörter auslesen kann. Schon ein Klick kann den Virus auf euer System integrieren, was v.a. für Outlook User ein Problem darstellt.
Vorgang des Wurms:
Der Wurm kopiert sich selbst als „INETD.EXE“ ins Windows-Verzeichnis, installiert eine Backdoor als „KERN32.EXE“, „Kernel32.exe“ oder „Kernel.exe“ und den Key-Logger PWS-AV als „HKSDLL.DLL“ oder „KDLL.DLL“ im System-Ordner und sorgt über Einträge in der Win.ini und in der Registry für die automatische Ausführung derselben beim Systemstart.
Wenn ihr einen Update der Virensoftware vermeiden wollt, die nötig ist um den Wurm automatisch zu finden, so habt ihr auch manuell die Möglichkeit euer System zu retten:
Alle oben genannten Dateien löschen, indem man beim Boot-Vorgang F8 drückt und seinen Rechner im DOS-Modus startet.Nun neu starten und folgende Keys in der Registry (oder Win.ini) löschen:
HKLMSOFTWAREMicrosoftWindowsCurrentVersion RunOncekernel32=kern32.exe
HKEY_USERSSoftwareMicrosoftWindows NTCurrentVersionWindowsRUN=%WinDir%INETD.EXE
Im Text der HTML-Mail kann „Take a look to the attachment“ stehen, das Subject ist leer oder enthält „Re:“ und die Bezeichnung des Anhangs besteht neben einem interessant klingenden Dateinamen aus der Extension „.doc“, „.mp3“ oder „.zip“ sowie der Endung „.pif“ oder „.scr“. Mögliche Dateinamen könnten „YOU_are_FAT!.TXT.pif“, „New_Napster_Site.DOC.scr“ oder ähnliche sein.