Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

Trojan.Psw.Hooker.24.H


W32.Badtrans ist ein sogenannter Massenmailer der sich über MS Outlook verbreitet und einen Trojaner beinhaltet. Nach "zögerlichem" Start hat das Virus mittlerweile eine Vielzahl von Unternehmen und Privat-Anwender infiziert und wurde von allen Virenschutzfirmen mit dem Bedrohungspotential "hoch" klassifiziert.

Dem W32.Badtrans Virus kommt dabei eine Sicherheitslücke des Outlook und Outlook Express Version 5.x zu Hilfe. Dank dieser Sicherheitslücke kann sich das Virus durch das einfache "LESEN" der eMail aktivieren. Ein Doppelklick auf das Attachment ist dabei gar nicht mehr erforderlich.

Es empfiehlt sich daher dringend, den empfohlenen Patch zur Behebung dieser Lücke einzuspielen:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Wird das Virus auch noch durch Doppelklick aktiviert erscheint folgende Fehlermeldung:

"Install error wich reads, "File data corrupt: probably due to a bad data transmission or bad disk access."

Im Hintergrund hat sich das Virus bereits unter dem Namen INETD.EXE in das Windows-Verzeichnis kopiert und einen Eintrag in der WIN.INI vorgenommen.
Durch den Eintrag in der WIN.INI wird gewährleistet das W32.Badtrans beim nächsten Systemstart wieder aktiviert wird.

Die Dateien KERNEL32.EXE und KDLL.DLL die der eigentliche Trojaner sind, wurden unter C:\Windows\System installiert. Ab nun loggt der Trojaner die IP des Infizierten Rechners mit und versendet diese unbemerkt an den Schreiber des Viruses.

Auch die Registry wurde vom Virus nicht verschont und erhielt den Eintrag:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kernel32.exe

Nach einem Systemneustart beginnt das Virus sich per eMail zu versenden indem es alle ungelesenen eMails beantwortet und sich selbst als Attachment anhängt.

Das eMail hat folgendes aussehen:

Betreff: Kein Betreff (im Regefall finden sie nur ein "Re: ")

Attachment:

Card.pif
docs.scr
fun.pif
hamster.ZIP.scr
Humor.TXT.pif
images.pif
New_Napster_Site.DOC.scr
news_doc.scr
Me_nude.AVI.pif
Pics.ZIP.scr
README.TXT.pif
s3msong.MP3.pif
searchURL.scr
SETUP.pif
Sorry_about_yesterday.DOC.pif
YOU_are_FAT!.TXT.pif





ENTFERNUNG unter Win95/98:

Bevor sie starten achten Sie bitte darauf, dass Sie ein aktuelles Update Ihres Virenscanners eingespielt haben und dass Sie den Patch von Microsoft auf Ihren Rechnern installiert haben.

Schritt 1:
Löschen Sie den vom Wurm angelegten Key in der Registry unter

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\

kernel32=kernel32.exe <-- Diesen Eintrag löschen!!

Schritt 2:
Booten Sie den Rechner im MS-Dos-Modus neu.

c:\windows\system> del kernel32.exe
c:\windows\system> del kdll.dll

Schritt 3:
Lassen Sie Ihren Virenscanner mit der Einstellung "ALLE INFIZIERTEN DATEIEN LÖSCHEN" nochmals über Ihre Festplatte C: laufen.

Ein nochmaliger durchlauf Ihres Virenscanners sollte nun ereignislos bleiben und keine weitere Virenwarnungen über den W32.Badtrans.B mehr anzeigen.



ENTFERNUNG unter WinNT/2000:

Bevor sie starten achten Sie bitte darauf, dass Sie ein aktuelles Update Ihres Virenscanners eingespielt haben und dass Sie den Patch von Microsoft auf Ihren Rechnern installiert haben.

Schritt 1:
Löschen Sie den vom Wurm angelegten Key in der Registry unter

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\

kernel32=kernel32.exe <-- Diesen Eintrag löschen!!

Schritt 2:
Beenden Sie den Prozess: KERNEL32.EXE

Im C:\Windows\System: KERNEL32.EXE und kdll.dll löschen

Schritt 3:
Lassen Sie Ihren Virenscanner mit der Einstellung "ALLE INFIZIERTEN DATEIEN LÖSCHEN" nochmals über Ihre Festplatte C: laufen.

Ein nochmaliger durchlauf Ihres Virenscanners sollte nun ereignislos bleiben und keine weitere Virenwarnungen über den W32.Badtrans.B mehr anzeigen.



Tipp vom Virendoktor:

Installieren sie umgehend den angebotenen Patch von Microsoft. Ist dieser installiert hat das Virus keine Chance sich zu verbreiten.

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

ACHTUNG:
Beachten Sie dabei aber, dass das einspielen dieser Patches den Windows Scripting Host wieder aktivieren können, sollte dieser deaktiviert worden sein.
(Deinstallation des WSH: www.ikarus.at/frames/wsh.htm)

Wir empfehlen mit Nachdruck, keine Attachments mit einem der oben genannten Attachments zu starten, die noch dazu, ohne Subjects und Texten im eMail an Sie gesandt wurden.
Beachten Sie, ob Ihr Scanner auch Datei-Endungen "SCR" und "PIF" überprüft, immer Zweifelsfall prüfen Sie immer ALLE Dateien.

Aktivieren Sie, wenn möglich, sofort einen eMail Filter, der Attachments die Executables mit den o.g. Namen enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt. Sollten Sie noch eine alte Version Ihres Virenscanners einsetzen so wäre ein Upgrade empfehlenswert.








Linktipps: Czarter Turcja