Badtrans-Wurm spioniert und spamt

Antivirenspezialist Kaspersky Lab warnt vor dem Trojaner "Badtrans". Der Mehrkomponeten-Wurm spioniert den infizierten Rechner aus, verschickt sich selbst und legt nebenbei Mail-Server lahm.

Wer sich hinreißen lässt, ein unverlangtes Mail-Attachement zu öffnen, das etwa "images.pif", "README.TXT.pif" oder NEW_NAPSTER_Site.DOC.scr" heißt, aktiviert Badtrans. Der Trojaner ist laut Kaspersky Lab eine Variante des Passwortklaus "Trojan.PSW.Hooker". Er verschickt Informationen von infizierten Rechnern an die E-Mail-Adresse ld8dll@mailandnews.com. Als versteckte Anwendung getarnt liest er Registry-Einträge aus, etwa Benutzernamen oder Remote-Access-Informationen. Selbst Tastatureingaben kann er protokollieren. Die so gewonnen Informationen schickt er regelmäßig an die genannte Mail-Adresse.

Um seine Schadensladung loszuwerden kopiert sich der Wurm als INETD.EXE ins Windows-Verzeichnis und legt die Trojaner-Komponete als HKK32.EXE ebenfalls dort ab. HKK32.EXE wird dann ausgeführt, was zu drei neuen Dateien im Windows-System-Verzeichnis führt: KERN32.EXE, HKSDLL.DLL und CP_23421.NLS. HKK32.EXE wird anschließend gelöscht. Der Trojaner verankert sich in den Autostart-Sektionen des Systems. Unter Windows 98 etwa als "run=C:\\WINDOWS\\INETD.EXE in der WIN.INI. Unter NT und Windows 2000 wird ein Registry-Schlüssel erzeugt. Badtrans befällt nur Rechner mit Windows-Betriebssystemen.

Die Fehlermeldung "install error, File Data Corrupt: Probably due to bad data transmission or bad disk access" verwirrt dann den Benutzer, zeugt aber nur von der erfolgreichen Installation. Wer sich zu einem Neustart hinreißen lässt, tut ein übriges zu Verbreitung, weil nun INETD.EXE ausgeführt wird. Das Programm versucht auf die MAPI-Funktionen zuzugreifen und beantwortet alle ungelesenen E-Mails. Im Anhang haben diese Mails dann den Trojaner. Zusätzlicher Schaden entsteht, wenn der Schädling eine unbeantwortete Mail von einem anderen infizierten Rechner entdeckt. Er verschickt sich dann dorthin, erhält wieder eine Antwort des Empfängers und so fort. Laut Kaspersky Labs ist diese Mailschwemme kein Feature sondern ein Bug. Der Schädling fügt dem Ende der Betreff-Zeile zwei Leerzeichen an und ist darauf programmiert, so gekennzeichnete Mails nicht zu beantworten. Die meisten Mail-Server entfernen aber automatisch Leerzeichen am Ende der Betreff-Zeile und machen diese Absicht zunichte.

Kaspersky Lab hat Abwehrmechanismen für Badtrans in die aktuellen Signaturen für seine Virenscanner eingearbeitet. Einen Überblick finden Sie in unserem Test von Viren-Scannern . Die Funktionsweise der digitalen Schädlinge ist in den Virengrundlagen beschrieben. (uba)