Thema: Virus!!! Ahhh
Einzelnen Beitrag anzeigen
  #7  
Alt 28.11.2001, 23:22
Benutzerbild von chr.flader
chr.flader chr.flader ist offline
Foren-Stammgast 1000
  
Registriert seit: 04.05.2001
Ort: Flensburg
Alter: 45
Beiträge: 1.900
chr.flader ist zur Zeit noch ein unbeschriebenes Blatt (Renommeepunkte ungefähr beim Startwert +20)
Zitat:
Original geschrieben von Bo
@mh

Wie um alles in der Welt kommst Du darauf, dass es sich um den BadTrans Virus handelt? Die Symptome, die beschrieben wurden treffen auf dutzende Viren zu.
Genau der ist das nicht, hier einmal ein paar Infos über den Virus:

Badtrans.B E-Mail Wurm wurde europaweit ab 24.11.2001 gefunden. Der Wurm verschickt E-Mail-Attachments unter verschiedenen Namen, die unter bestimmten Voraussetzungen auch automatisch ausgeführt werden können, bereits dann, wenn die E-Mail betrachtet wird.

Badtrans.B verbreitet sich auf Win32-Systemen. Der Virus versendet E-Mail-Nachrichten mit infizierten Datei-Anhängen. Einmal installiert, spioniert der Wurm außerdem über Trojaner-Komponenten vertrauliche Daten des infizierten Systems aus.

Der Wurm selbst ist eine Win32 ausführbare Datei (PE EXE Datei). Er wurde in komprimierter Form 'in the wild' entdeckt und hat eine Größe von ungefähr 29KB (unkomprimiert 60KB).

Der Wurm besteht aus den 2 Haupt-Komponenten - Wurm und Trojaner. Die 'Wurm'-Komponente sendet infizierte Nachrichten, die 'Trojaner'-Komponente sendet Informationen über das infizierte System (Benutzer-Informationen, RAS-Daten, ge-cachte Passwörter, Tastatur-Eingaben) an eine bestimmte E-Mail-Adresse. Außerdem enthält sein Code ein Keylogger-Programm, welches er auf dem Infizierten System hinterläßt, während er ein neues System infiziert.

Infizierung des Systems

Wenn eine infizierte Datei gestartet wird (wenn ein Benutzer auf ein Attachment klickt und es aktiviert, oder wenn der Wurm die Kontrolle bekommt durch die IFRAME Sicherheitslücke) erhält der Code des Wurms die Kontrolle. Zunächst hinterläßt (installiert) er seine Komponenten auf dem System und registriert sie in der System-Registry.

(Bemerkung zum i-frame-Trick, den auch die Würmer Nimda und Klez verwenden: Durch diesen Trick wird es dem Wurm auf einigen Systemen (z.B. mit Outlook und IE 5.0 oder 5.01) möglich gemacht, schon beim Ansehen der infizierten Nachricht aktiv zu werden. Dabei nutzt der Wurm eine bekannte Sicherheitslücke des Internet Explorer (IE). Durch einen Patch von Microsoft lässt sich diese Lücke beseitigen: http://www.microsoft.com/windows/ie/...08/default.asp )

Der Name der installierten Trojaner-Datei, das Zielverzeichnis und der Registry-Key werden aus einer Liste ausgewählt. Sie sind verschlüsselt am Ende der Trojaner-Datei hinterlegt. Ein Hacker könnte sie verändern, bevor sie an ein "Opfer" verschickt wird und bevor sie auf einer Webseite hinterlegt wird.

Der Wurm installiert zusätzlich einen Tastatur-Aufzeichner (Win32 DLL) auf dem System, durch den er jeden Text, der über die Tastatur eingegeben wird, ausspähen kann. Der Name der DLL-Datei ist ebenfalls eine Auswahl aus einer Liste.

Weitere Funktionen:

- der Wurm löscht die ursprüngliche, infizierte Datei, nachdem die Installation abgeschlossen ist

- die Größe der Tastatur-Log-Datei variiert

Ausbreitung:

Um infizierte Nachrichten zu versenden, benutzt der Wurm direkte Verbindungen zu SMTP-Servern. Die E-Mail-Adressen der 'Opfer' erhält er auf zwei Arten:

1. Der Wurm sucht nach *.HT* und *.ASP Dateien und extrahiert darin enthaltene E-Mail-Adressen

2. Der Wurm durchsucht über die MAPI-Funktionen alle E-Mails im Eingang der Mailboxen und erhält so E-Mail-Adressen.

Als Nächstes sendet der Wurm infizierte Nachrichten. Der Nachrichten-Text hat HTML-Format und nutzt die IFRAME-Sicherheitslücke, um infizierte Anhänge auf den ungesicherten Systemen abzulegen.

Die Nachrichten-Felder sind:

Von: - Original-Adresse oder eine gefälschte Adresse zufällig ausgwählt aus:

" Anna" <aizzo@home.com>"JUDY" <JUJUB271@AOL.COM>"Rita Tulliani" <powerpuff@videotron.ca>"Tina" <tina0828@yahoo.com>"Kelly Andersen" <Gravity49@aol.com>" Andy" <andy@hweb-media.com>"Linda" <lgonzal@hotmail.com>"Mon S" <spiderroll@hotmail.com>"Joanna" <joanna@mail.utexas.edu>"JESSICA BENAVIDES" <jessica@aol.com>" Administrator" <administrator@border.net>" Admin" <admin@gte.net>"Support" <support@cyberramp.net>"Monika Prado" <monika@telia.com>"Mary L. Adams" <mary@c-com.net>" Anna" <lindaizzo@home.com>"JUDY" <JUJUB@AOL.COM>"Tina" <tina08@yahoo.com>
Betreff: - Leer oder "Re:", oder "Re:" gefolgt von einer Betreff-Zeile einer Original-Nachricht (s.o. unter 2.)

Nachrichtentext: - Leer

Anhang (Attachment): zufällig ausgewählter Dateiname + Endung1 + Endung2,
wobei der Dateiname sein kann:

Pics (oder PICS ) Card (oder CARD) images (oder IMAGES) Me_nude (oder ME_NUDE) README Sorry_about_yesterday New_Napster_Site info news_doc (oder NEWS_DOC) docs (oder DOCS) HAMSTER Humor (oder HUMOR) YOU_are_FAT! (oder YOU_ARE_FAT!) fun (oder FUN) stuff SEARCHURL SETUP S3MSONG

Endungen:

"Endung1": .DOC .ZIP .MP3
"Endung2": .scr, .pif

Zum Beispiel: "info.DOC.scr"

Der Wurm sendet keine infizierten Nachrichten zweimal an die gleiche Adresse. Er führt in der Datei PROTOCOL.DLL im Windows-System-Verzeichnis Buch über die verwendeten E-Mail-Adressen und überprüft vor dem Absenden neuer E-Mails diese Datei.

BadTrans.B installiert sich selbst im Windows-System-Verzeichnis unter dem Namen KERNEL32.EXE und registriert sich im Registry-Key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce Kernel32 = kernel32.exe

Er installiert den Tastatur-Aufzeichner unter dem Namen KDLL.DLL und sendet die ausgespähten Informationen an eine E-Mails-Adresse bei Hotmail. Die Log-Informationen werden in der Datei CP_25389.NLS im Windows-System-Verzeichnis abgelegt.

Zusatz-Informationen:

Der Wurm installiert einen Passwort-Dieb (Trojaner) KDLL.DLL, der von F-PROT/F-SECURE Anti-Virus als "Trojan.PSW.Hooker" erkannt wird.

Beseitigung:

1. Laden Sie sich den Sicherheitspatch von Microsoft gegen die automatische Ausführung von E-Mail-Anhängen herunter und führen Sie ihn aus: http://www.microsoft.com/windows/ie/...08/default.asp

2. Laden Sie sich die spezielle Patch-Datei herunter, die verhindert, dass Badtrans.b ausgeführt wird, wenn Windows aktiv ist:

ftp://f-prot-antivirus.de/pub/tools/bt_b_dis.reg

3. Wenn Sie auf die o.a. Verknüpfung klicken, fragt Ihr Webbrowser, ob Sie diese Datei öffnen oder speichern möchten. Wählen Sie die Auswahl 'Öffnen' und klicken Sie auf 'Ok'.

4. Starten Sie Ihr System neu

5. Durchsuchen Sie alle Festplatten mit F-PROT. Benutzen Sie die Einstellung 'Alle Dateien' (Scan>Files>"DUMB" scan of all files bzw. Parameter /DUMB).

a. Wenn F-PROT den Badtrans-Wurm in der Datei kernel32.dll im Windows-System-Verzeichnis entdeckt, löschen Sie diese Datei mit der Einstellung 'Scan>Action>Delete/Query'.
Dadurch wird die Wurmdatei auf Ihrem System gelöscht.

b. Wenn F-PROT in einer Datei 'Trojan.PSW.Hooker' feststellt (üblicherweise KDLL.DLL), versuchen Sie diese Datei mit der Einstellung 'Scan>Action>Delete/Query' zu löschen. Sollte diese Datei erfolgreich gelöscht worden sein, so ist Ihr System vom Badtrans-Wurm und dem Hooker-Trojaner befreit.

Sollte die Datei nicht gelöscht werden können (blockiert durch Windows), dann müssen Sie sie manuell löschen. Zunächst notieren Sie sich den Pfad und Dateinamen, den F-PROT als 'Trojan.PSW.Hooker' entdeckt hat. Anschließend, abhängig von Ihrem Betriebssystem, gehen Sie folgendermaßen vor:

Für Windows 95/98

Falls Sie Windows 95 oder 98 benutzen, starten Sie Ihr System im MS-DOS-Modus und tippen Sie auf Kommando-Ebene (im Befehlsmodus): DEL, anschließend eine Leerstelle und den Pfad und Dateienamen, den F-PROT angegeben hat und den Sie sich (s.o.) notiert haben. Beispiel: del c:\windows\system\kdll.dll

Für Windows ME

Falls Sie Windows ME einsetzen, müssen Sie Ihr System mit einer System-Diskette booten und tippen Sie auf Kommando-Ebene (im Befehlsmodus): DEL, anschließend eine Leerstelle und den Pfad und Dateienamen, den F-PROT angegeben hat und den Sie sich (s.o.) notiert haben. Beispiel: del c:\windows\system\kdll.dll
Denken Sie bei Windows ME daran, die Funktion automatische System-Reparatur auszuschalten. Anderenfalls kann der Wurm wieder hergestellt ('repariert') werden.

Für Windows NT, 2000 oder XP

Falls Sie Windows NT, 2000 oder XP einsetzten, benennen Sie die Trojaner-Datei mit Hilfe des Windows-Explorers um. Nennen Sie ihn z.B. 'trojaner.000' und starten Sie das System neu. Anschließend wiederholen Sie den Suchlauf mit F-PROT und wenn F-PROT ihn entdeckt hat, löschen Sie diese Datei mit der Einstellung 'Scan>Action>Delete/Query'. Dadurch wird die Trojanerdatei auf Ihrem System gelöscht.

c. SEHR WICHTIG! Falls FSAV eine infizierung in Ihrer E-MAIL-Datenbenk entdeckt (PST, MDB u.a.), löschen Sie diese Dateien NICHT, oder Sie verlieren alle Ihre E-Mails. Sie sollten stattdessen alle diese E-MAILS mit Ihrem E-Mail-Programm löschen und anschließend die Datenbank durch Ihr E-MAIL-Client komprimieren lassen. F-PROT sollte danach keine verdächtigen Nachrichten mehr finden.

6. Sie sollten zum Schluss noch einmal das gesamte System mit F-PROT durchsuchen lassen (Scan>Files>"DUMB" scan of all files bzw. Parameter /DUMB).

7. Es wird ausserdem empfohlen, Ihr Windows-Domain-Passwort und RAS-Passwort zu ändern, da der Trojaner die Passwörter übertragen haben könnte.
Mit Zitat antworten