BadTrans Virus/Orm

Artiklen blev oprindeligt publiceret den 29/11/2001

Denne virus er en e-mail-orm, der tilsyneladende rammer danskere i stort omfang. Den anretter, så vidt vides i skrivende stund, ikke skade på data på inficerede systemer, men kan til gengæld smitte maskiner åbne for en ældre MIME-sårbarhed ved blot at åbne mail med virus i og den har en indbygget trojansk hest, der vil forsøge at opsnappe informationer (brugernavne, passwords mv.) brugeren taster ind og sende dem til et antal 'indbyggede' e-mail-adresser.

Mailen kan indeholde teksten 'Take a look to the attachment' og har en vedhæftet fil hvis filnavn er sammensat af tre dele. Første del er en af følgende:

fun
humor
docs
info
Sorry_about_yesterday
Me_nude
Card
SETUP
stuff
YOU_are_FAT!
HAMSTER
news_doc
New_Napster_Site README
images
Pics

Anden del er en af følgende:

.DOC
.MP3
.ZIP

Sidste del er en af to:

.pif
.scr

Ormen vil skrive følgende filer på maskinen:

inetd.exe
kern32.exe eller kernel32.exe
hksdll.dll
hkk32.exe
Cp_25389.nls eller Cp_23421.nls
Kdll.dll

Ormen vil svare alle ulæste mails på maskinen med en vedhæftet kopi af sig selv. Ormen leder også aktivt efter e-mail-adresser og sender sig selv til dem. Findes en e-mail-identitet på maskinen vil ormen bruge den, ellers vil den bruge en af 15 'indbyggede' adresser. Ormen holder regnskab med hvem den har sendt sig selv til i filen 'Protocol.dll', antageligt for at undgå at sende sig selv flere gange til den samme.

For at fjerne ormen skal systemet først scannes for inficerede filer, og dernæst skal følgende nøgle(r) i registreringsdatabasen fjernes:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kern32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32.exe

og win.ini skal have fjernet en eventuel reference til inetd.exe i 'run=' argumentet.

Alle større antivirusprogramleverandører kan finde og fjerne virus.

Den MIME-sårbarhed der omtales i indledningen er beskrevet på Microsoft's Technet.

Links