VirusAlert.nl logo
  Donderdag, 24 juli 2014 nieuwsbrieven | alerts | links | faqs | partners | adverteren | perskamer | colofon | contact
Inloggen:
Twitter
Zoeken ? Powered by Google
Naam (type):
Bad Trans.b (Internet Worm)
Besturing:
Microsoft Windows
Datum:
24 november 2001
Risico:
<font class=darkred>Hoog</font>
Bron:
(c) 2001, VirusAlert
Aliassen:
W32.Badtrans.B@mm<br /> Trans<br /> Backdoor-NK.svr <br /> BadTrans <br /> I-Worm.Badtrans<br /> TROJ_BADTRANS.A <br /> W32.Badtrans.13312@mm <br />
Eigenschappen:
Bad Trans is een internetworm die gebruik maakt van MAPI om zichzelf door te sturen. MAPI is de Messaging Application Programming Interface, een Windows-toepassing waarmee een bericht (e-mail of fax) kan worden gestuurd vanuit bijvoorbeeld de tekstverwerker.

Het virus zit in een bijlagebestand dat continu een wisselende samenstelling heeft. Dit bestand heeft in ieder geval de extensie .scr of .pif. In de e-mail zelf zit geen tekst. Het virus repleyt op berichten in outlook waarop niet is geantwoord.

Activering virus:
- Door het bijlagebestand te openen.
- Automatisch via Outlook in preview-weergave, dit is mogelijk door een lek in Outlook. Ook het Aliz- en Nimda-virus gebruiken deze fout. Het is voor iedere office-gebruiker aan te raden deze patch te installeren! (Link zie onder: Patch Outlook)

Vervolgens wordt het virusbestand geplaatst in de Windows-system directorie met de naam: KERNEL32.EXE. Tevens past het de registry aan, waardoor het na het opstarten van Windows wordt gestart.
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce\Kernel32=kernel32.exe)

Het virus installeert ook een component van een trojan-virus (pws-gen.hooker) waardoor het in staat is om alle keyboard-acties vast te leggen en ip-adressen te verzamelen en te verzenden naar de virusschrijver.
(Middels de "keyboard-strokes" zou de virusschrijver wellicht wachtwoorden/gebruikersnamen kunnen achterhalen.)
Tijdens het installeren verschijnt er een windows-messagebox met de o.a. de tekst "install error". (zie hieronder)

Eigenschappen van het e-mailtje
onderwerp: [geen]
afzender: [besmet systeem]
bericht: [geen]
bijlage bestand: [willekeurig samengesteld uit onderstaande lijst van woorden:]
FUN, HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER NEWS_DOC, New_Napster_Site, README, IMAGES, PICS, DOC, MP3, ZIP, SCR, PIF
(De extensie is of .SCR of .PIF)

Herkenning van besmetting
-Aanwezigheid van het bestand KERNEL32.EXE in de Windows\System directorie.
-Op een bepaald ogenblik een windows messagebox met de tekst "install error".

Aanvullende opmerkingen
Wees komende tijd voorzichtig met het openen van .SCR of .PIF bestanden. Blokkeer eventueel emailverkeer met deze bestanden.

Mocht je het virus ontvangen, dan kun je de afzender niet re-pleyen, het virus zet namelijk automatisch een "_" (underscore) voor het afzendadres, waardoor de verzending mislukt.

Dit venster krijg je te zien:

© VirusAlert schaal

Innovatie:  35
Besturing:  65
Logistiek:  70
Schade:  35

Schaal:  51/100

Aanduiding: ZEER GEVAARLIJK



Gratis Nieuwsbrief!

Verwijder instructies:
Symantec heeft een gratis tool beschikbaar gesteld waarmee je het virus Bad.Trans kunt verwijderen van je systeem.
Ga naar onderstaande locatie en download het bestand op je systeem.
(Dit gaat bij de meeste browsers automatisch.)
Vervolgens kun je het bestand openen (bijvoorbeeld met Windows Verkenner) en helpt het programma je vervolgens op weg.

De tool van symantec

OF:

-Start Windows in de veilig modus op.
-Verwijder het bestand kernel32.exe. (mocht dit via de verkenner niet lukken, start dan op met ms-dos prompt en doe het via dit scherm)
-Haal kernel32.exe uit de registry (dit kan enkel door specialisten gebeuren!!)
-Dan opnieuw opstarten.
-Update de DAT-bestanden van je antivirussoftware.
-Doe een volledige scan op het systeem, denk erom dat alle bestanden worden gescand. Lees dit na in je antivirussoftware.
-Doe voor de zekerheid ook nog een scan via bv. Symantec Online:
Gratis Scan van Symantec

De volgende fabrikanten detecteerden het virus al of hebben inmiddels DAT-bestanden vrijgegeven:
McAfee
Symantec
Sophos
Messagelabs
F-secure
Trend Micro
Norman ASA
Aladdin
Panda Software

Link:
Patch Outlook (Technet / Microsoft)

H2oevents.nl Op zoek naar een actief bedrijfsuitje?
MyAlert.nl (tip) Gratis opzegbrieven, abonnement beheer, kasboek en
Advertentie:



Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2014 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/Privacy RSS