Ein kleiner Bug kann zu weltweitem eMail-Chaos führen

Cambridge, UK, 12. April 2001

Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt PC-Anwender vor dem 'in freier Wildbahn' entdeckten, mehrteiligen Internet-Wurm 'Badtrans'. Der Wurm besitzt eine mehrteilige Struktur. Er besteht aus drei verschiedenen Teilen, die als einzelne Dateien auf der Festplatte des Hosts abgelegt und als einzelne Programme ausgeführt werden (Dropper-Komponente[legt die Teile auf der Platte ab], eMail-Wurm und Trojaner). Die Wurmroutine stellt den Hauptbestandteil dar; sie beinhaltet den Programmteil des Trojaners und installiert diesen, während sie bereits den nächsten Rechner infiziert. Die Trojanerkomponente erlaubt es einem Remote User, die Kontrolle über das infizierte System zu übernehmen und vertrauliche Informationen zu stehlen.

Neben dem Stehlen vertraulicher Informationen besteht die Gefahr bei diesem Wurm darin, dass er unter Umständen die Übertragungskanäle lähmt. Aufgrund eines kleinen Bugs kann es passieren, dass er sich als Antwort an den Absender jeder ungelesenen eMail verschickt, auch wenn diese von einem infizierten Computer stammt.

Wenn der Wurm in Computer 'A' eine unbeantwortete Nachricht im Posteingang entdeckt, die vom ebenfalls infizierten Computer 'B' stammt, verschickt er sich an diesen. Computer 'B' wiederum erhält eine eMail mit dem Wurm, beantwortet diese, usw. Das führt dazu, dass der Traffic zwischen zwei infizierten Rechnern auf das Tausendfache ansteigt und in einer einzigen Stunde unzählige infizierte Nachrichten im Posteingang eingehen.

Die Viren-Datenbank von Kaspersky Labs ist bereits aktualisiert worden. Der Kaspersky Anti-Virus kann unter http://www.kaspersky.com/updates.asp aktualisiert werden.

Nähere Informationen zu diesem Wurm finden sich bei der Kaspersky Viren-Enzyklopädie unter http://www.viruslist.com.

Kaspersky Anti-Virus ist über den Kaspersky Labs Online Store oder über ein weltweites Netz von Kaspersky Anti-Virus Distributoren und Wiederverkäufern zu beziehen. Eine Liste der Händler findet sich unter http://www.kaspersky.com/buyoffline.asp.

Die kostenlose Trial-Version von Kaspersky Anti-Virus kann unter http://www.kaspersky.com/download.asp heruntergeladen werden.

Der kostenlose Newsletter von Kaspersky Labs kann unter http://www.kaspersky.com/subscribeNow.asp abonniert werden.

Technische Informationen:

Infektion des Systems

Wenn eine infizierte Datei ausgeführt wird (also ein User auf das Attachment klickt und es aktiviert), übernimmt der Wurm die Kontrolle. Zunächst installiert er seine Komponenten im System.

Der Wurm kopiert sich unter dem Namen INETD.EXE in das Windows-Verzeichnis und legt die Trojaner-Komponente im selben Ordner als HKK32.EXE ab. Dann wird die Trojaner-Komponente ausgeführt und verschiebt sich ins Windows-Systemverzeichnis, wo die Bestandteile des Wurms unter folgenden Namen zu finden sind:

KERN32.EXE - Trojaner (Kopie)
HKSDLL.DLL - Bibliothek des Trojaners
CP_23421.NLS - Die internen Daten des Trojaners werden in dieser Datei gespeichert. Anschließend löscht der Wurm die Datei HKK32.EXE im Windows-Verzeichnis.

Dann trägt sich der Wurm (die Datei INETD.EXE) in Autostart-Sektionen des Systems ein. Unter Win9x beispielsweise fügt er ein "run="-Kommando zum [windows]-Abschnitt der WIN.INI hinzu:

'[windows]
load=
run=C:\WINDOWS\INETD.EXE'

Unter WinNT/2000 wird folgender Registry-Schlüssel erzeugt: HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Wenn die Installation vollständig ist, zeigt der Wurm folgende 'Fehlermeldung' an und beendet sich:

Verbreitung

Die Verbreitungsroutine wird beim nächsten Booten von Windows aktiviert, wenn der Wurm in der INETD.EXE ausgeführt wird (diese Datei wird automatisch ausgeführt, da sie in dem "run"-Eintrag in der WIN.INI bzw. der Registry eingetragen ist.

Der Wurm registriert sich selbst als versteckter (System-) Prozess und aktiviert die Verbreitungsroutine nach einer Wartezeit von etwa 5 Minuten. Nach der Aktivierung erhält der Wurm Zugriff auf die MAPI-Funktionen von Windows. Er öffnet und beantwortet alle ungelesenen Nachrichten.

Der Name des Attachments wird aus der folgenden Liste zufällig ausgewählt:

Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif

Trojanerkomponente

Der Trojaner selbst ist eine Variante der bekannten 'Passwort-stehlenden' Trojaner (siehe "Trojan.PSW.Hooker"). Er verschickt Informationen von infizierten Rechnern aus an folgende eMail-Adresse:

ld8dl1@mailandnews.com