hallo,
was macht dieser virus W32.Badtrans.B@mm. dieser wird mir in den letzten tagen ständig per email zugesendet !!
thx, oeffi
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
xafford 
Oeffi „was macht der virus: W32.Badtrans.B@mm“
er verse#ndet sich nach dem aktivieren automatisch an alle ungeöffneten einträge im posteingang udn an einträge aus dem adressbuch, wobei er oftmals entweder eine re: der ursprünglichen mail verwendet, oder zufällig ein subject erstellt. außerdem installiert er einen keylogger und einen trojaner, der die geloggten daten an eine vorher eingestellte emailadresse versendet. weitere schadensroutinen hat er bisher nicht.
wenn du ihn entfernen willst, dann hast du etwas an sucharbeit zu erledigen. er bennent sich gerne in kernel32.exe (achtung! nciht kernel32.dll, die gehört zum system) oder in inetd.exe oder andere einträge und legt den keylogger und das priotokoll als dlls im win-systemordner (system32) ab. das protokoll heisst protocol.dll und der keylogger verwendet verschiedene namen, hat aber meist 29kb, zu finden über suche nach neu erstellte dateien mit endung dll und weniger als 30kb größe.
zum starten trägt er sich in der registry ein (abhängig vom betriebssystem) und in der win.ini über einen load-eintrag. auf den seiten von symantec ist eine ausführlichere beschreibung zu finden.
achja, der anhabg wird generiert mit schlüsselworten und zwei endungen, z.b.
mp3search.mp3.scr oder fun.doc.pif und ähnliche.
Sandra6 xafford „er verse ndet sich nach dem aktivieren automatisch an alle ungeöffneten...“
hállo xafford,
ich habe nach den o.g. datein via SUCHEN (im windows START) gesucht, jedoch nichts gefunden. kann man so danach suchen oder muß ich selber schauen???
würde mich über eine antwort von dir freuen :-)
danke, sandra
xafford Sandra6 „hállo xafford, ich habe nach den o.g. datein via SUCHEN im windows START...“
hallo sandra, beim suchen muß vorher im explorer eingestellt sein, daß ale dateien angezeigt werden, also auch versteckte und systemdateien, da dlls normalerweise systemdateien sind und als "schutz" vor dem user standardmäßig ausgeblendet werden. die namen der dateien können alternieren, es gibt teilweise unterschiedliche meldungen, daß andere namen gewählt wurden. nach welchen hast du denn gesucht? der kbd.dll, protocol.dll, kdll.dll, CP_25389.nls und der kernel32.exe? am besten den gesamten windowsordner durchsuchen lassen, da die dateien nicht unbedingt im system oder system32 ordner leiegen müssen.
Sandra6 xafford „hallo sandra, beim suchen muß vorher im explorer eingestellt sein, daß ale...“
hallo xafford,
hört sich alles so kompleziert an. ich habe da so ein antivirus-programm von norton und da habe ich mal geguckt, dieses soll auch diesen badtrans erkennen (oder so ähnlich).
reicht vielleicht ein virus-check durch meinen computer mit dem programm ?
würde mich über eine antwort von dir freuen :-)
sandra
xafford Sandra6 „hallo xafford, hört sich alles so kompleziert an. ich habe da so ein...“
wenn norton 2001 aktuelle virenmuster hat, erkennt er badtrans, 2002 erkennt badtrans auf jeden fall. das entfernen sollte auch klappen.
wie kommst du eigentlich drauf den wurm zu haben, wenn dein virenscanner nicht aktiv ist und nichts gemeldet haben kann?
Sandra6 xafford „wenn norton 2001 aktuelle virenmuster hat, erkennt er badtrans, 2002 erkennt...“
hallo xafford,
ich dachte, dieser virus würde trotz viren-programm sich im computer einnisten. mein norton hat mir zwar ein virus an einer email gemeldet, doch ich wußte nicht ob er auch gelöscht worden ist.
deswegen habe ich den computer mit norton durchsucht, doch er hat nichts gefunden, jetzt weiß ich nicht, ob der norton überall schaut und dann auch findet.
deswegen bat ich dich um deine auskunft. und für diese auskunft möchte ich mich ganz herzlich bedanken. war wirklich gut und für mich auch recht verständlich ;-)
danke, sandra
Oeffi Nachtrag zu: „was macht der virus: W32.Badtrans.B@mm“
wow,
hast du das alles von der sympantec website oder noch aus anderen quellen?
danke, oeffi
ps. vor dem virus wurde sogar gestern bei sat1 im videotext S.113 gewarnt. habe ich gestern nach meinem eintrag hier entdeckt !!!
xafford Oeffi „wow, hast du das alles von der sympantec website oder noch aus anderen quellen?...“
leider aus erster hand. durfte gestern zwei rechner säubern, da unsere virenscanner den virus(wurm) nicht erkannt haben und ein user es sich mal wieder nicht verkneifen konnte einen anhang zu öffnen.
Klaus_T xafford „leider aus erster hand. durfte gestern zwei rechner säubern, da unsere...“
Da siehst du wieder mal, wofuer Virenscanner gut sind. Nur fuer die Tonne. Solange die DAU's auf alles klicken, was nicht schnell genug abstuertzt, hilft alles nichts. Die User muessen mehr ihr Gehirn benutzen und Verantwortung uebernehmen.
Klaus
HeinBlöd (Anonym) Oeffi „was macht der virus: W32.Badtrans.B@mm“
Hi Oeffi,
die folgende Mail habe ich vom Support meines Virenscanners bekommen, dort steht alles wissenswerte über den Virus und seine Entfernung drin:
CSRT Alert - Medium Risk
=======================
Win32.BadtransII
and Win32.Badtrans.dll
Alias: W32/Badtrans-B, BADTRANS.B, WORM_BADTRANS.B, W32/Badtrans@MM,
W32.Badtrans.B@mm, W32/BadTrans.B-mm
Threat Level: Medium
Platforms: 95, 98, ME, NT, 2000
Updated on: 27 November, 2001
Arrival Form: Email
Type: Win32, Trojan, Worm
Damage: Steal information, Other
-----------------------------------------------------------------------
Analysis
========
Win32.BadTransII is an email spreading vandal which attempts to install a
spying keystroke logger on infected machines and tries to steal access
passwords to connections. When arriving by email this vandal run
automatically by using an Outlook Express exploit known as the X-WAV
exploit. More information about this exploit and a patch is available form
Microsoft:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/securit
y/bulletin/MS01-020.asp
** eSafe products proactively protect against this exploit even without a
vandal/virus update **
Infection
---------
The arriving email will have a the following format:
From: a list of random email addresses
Subject: random words out of the following list: Humor, fun, docs, info
Body: No body text Attached file: random attached file name with a double
extension. The list of possible names: Pics images New_Napster_Site README
stuff SETUP Card Me_nude Sorry_about_yesterday news_doc HAMSTER
YOU_are_FAT!
The first file extension will be one of the following: .DOC, .ZIP, .MP3
The second extension will be one of the following: .PIF, .SCR
This vandal can also arrive as a reply to an email. In that case the
subject line will begin with Re: and following would be the original
subject line.
It also searches file with the extensions .HT* and .ASP (HTML files) and
sends infected emails to addresses found there. Usually there will be many
such HTML files in the browser cache directories.
Operation
---------
When an infected email is viewed on a system unpatched by Microsoft, the
file is automatically executed and will perform the following:
1. Create a copy of itself under the name KERNEL32.EXE in the Windows
System directory (usually C:\Windows\System).
2. Create a file named KDLL.DLL (detected by eSafe as Win32.Badtrans.dll)
in the Windows System directory. This file is a spying Trojan. It collects
information about the PC including dial-up passwords. It is also a
keystroke logger, collecting all the keyboard entries and the respective
applications. All this information is saved encrypted to a file named
CP_25389.NLS and sent to a predefined email address.
3. To execute itself each time the computer starts, the following registry
entry is added:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
kernel32 = "kernel32.exe"
4. Use MAPI to send copies of itself to address book entries as well as
addresses in HTML pages stored locally and as a reply to unread messages.
Removal Instructions
====================
Manual Removal
--------------
1. Find and delete the files: KERNEL32.EXE and CP_25389.NLS
2. Using Regedit.exe, find the key HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce\kernel32 = "kernel32.exe". Delete the
registry value kernel32.
3. Disable email previewing in Outlook Express. Delete all email messages
that correspond the descriptions above.
Oeffi Nachtrag zu: „was macht der virus: W32.Badtrans.B@mm“
hi,
mein norton hat den virus beim öffnen der mail sofort erkannt, ist jetzt mein system trotzdem verseucht?
thx, oeffi
xafford Oeffi „hi, mein norton hat den virus beim öffnen der mail sofort erkannt, ist jetzt...“
nein
xafford Oeffi „was macht der virus: W32.Badtrans.B@mm“
für jeden den es noch interessieren sollte, ich habe auf meine rseite eine kurzanleitung zur beseitigung erstellt. steht unter news, zu finden hier.
Arno1 Oeffi „was macht der virus: W32.Badtrans.B@mm“
Hallo!
Ich kann die kernel32exe in der registry erst gar nicht löschen. Nach einem reboot ist sie wieder da! Was tun? Danke
xafford Arno1 „Hallo! Ich kann die kernel32exe in der registry erst gar nicht löschen. Nach...“
norton professional 2001 trial runterladen, installieren, neuste patterns runterladen und ihn die arbeit übernehmen lassen.
(Anonym) Oeffi „was macht der virus: W32.Badtrans.B@mm“
Hilfe ist schon da.
Tschüß badtrans
unter http://www.antivirus-online.de/
antibadtransbTool.downloaden und Programm ausführen.
Und fertig
