VirusAlert.nl logo
  Donderdag, 8 december 2016 Blog | nieuwsbrieven | alerts | links | faqs | partners | adverteren | perskamer | colofon | contact
Inloggen:
Twitter
Zoeken ? Powered by Google
Naam (type):
Bad Trans.b (Internet Worm)
Besturing:
Microsoft Windows
Datum:
24 november 2001
Risico:
<font class=darkred>Hoog</font>
Bron:
(c) 2001, VirusAlert
Aliassen:
W32.Badtrans.B@mm<br /> Trans<br /> Backdoor-NK.svr <br /> BadTrans <br /> I-Worm.Badtrans<br /> TROJ_BADTRANS.A <br /> W32.Badtrans.13312@mm <br />
Eigenschappen:
Bad Trans is een internetworm die gebruik maakt van MAPI om zichzelf door te sturen. MAPI is de Messaging Application Programming Interface, een Windows-toepassing waarmee een bericht (e-mail of fax) kan worden gestuurd vanuit bijvoorbeeld de tekstverwerker.

Het virus zit in een bijlagebestand dat continu een wisselende samenstelling heeft. Dit bestand heeft in ieder geval de extensie .scr of .pif. In de e-mail zelf zit geen tekst. Het virus repleyt op berichten in outlook waarop niet is geantwoord.

Activering virus:
- Door het bijlagebestand te openen.
- Automatisch via Outlook in preview-weergave, dit is mogelijk door een lek in Outlook. Ook het Aliz- en Nimda-virus gebruiken deze fout. Het is voor iedere office-gebruiker aan te raden deze patch te installeren! (Link zie onder: Patch Outlook)

Vervolgens wordt het virusbestand geplaatst in de Windows-system directorie met de naam: KERNEL32.EXE. Tevens past het de registry aan, waardoor het na het opstarten van Windows wordt gestart.
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce\Kernel32=kernel32.exe)

Het virus installeert ook een component van een trojan-virus (pws-gen.hooker) waardoor het in staat is om alle keyboard-acties vast te leggen en ip-adressen te verzamelen en te verzenden naar de virusschrijver.
(Middels de "keyboard-strokes" zou de virusschrijver wellicht wachtwoorden/gebruikersnamen kunnen achterhalen.)
Tijdens het installeren verschijnt er een windows-messagebox met de o.a. de tekst "install error". (zie hieronder)

Eigenschappen van het e-mailtje
onderwerp: [geen]
afzender: [besmet systeem]
bericht: [geen]
bijlage bestand: [willekeurig samengesteld uit onderstaande lijst van woorden:]
FUN, HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER NEWS_DOC, New_Napster_Site, README, IMAGES, PICS, DOC, MP3, ZIP, SCR, PIF
(De extensie is of .SCR of .PIF)

Herkenning van besmetting
-Aanwezigheid van het bestand KERNEL32.EXE in de Windows\System directorie.
-Op een bepaald ogenblik een windows messagebox met de tekst "install error".

Aanvullende opmerkingen
Wees komende tijd voorzichtig met het openen van .SCR of .PIF bestanden. Blokkeer eventueel emailverkeer met deze bestanden.

Mocht je het virus ontvangen, dan kun je de afzender niet re-pleyen, het virus zet namelijk automatisch een "_" (underscore) voor het afzendadres, waardoor de verzending mislukt.

Dit venster krijg je te zien:

© VirusAlert schaal

Innovatie:  35
Besturing:  65
Logistiek:  70
Schade:  35

Schaal:  51/100

Aanduiding: ZEER GEVAARLIJK



Gratis Nieuwsbrief!

Verwijder instructies:
Symantec heeft een gratis tool beschikbaar gesteld waarmee je het virus Bad.Trans kunt verwijderen van je systeem.
Ga naar onderstaande locatie en download het bestand op je systeem.
(Dit gaat bij de meeste browsers automatisch.)
Vervolgens kun je het bestand openen (bijvoorbeeld met Windows Verkenner) en helpt het programma je vervolgens op weg.

De tool van symantec

OF:

-Start Windows in de veilig modus op.
-Verwijder het bestand kernel32.exe. (mocht dit via de verkenner niet lukken, start dan op met ms-dos prompt en doe het via dit scherm)
-Haal kernel32.exe uit de registry (dit kan enkel door specialisten gebeuren!!)
-Dan opnieuw opstarten.
-Update de DAT-bestanden van je antivirussoftware.
-Doe een volledige scan op het systeem, denk erom dat alle bestanden worden gescand. Lees dit na in je antivirussoftware.
-Doe voor de zekerheid ook nog een scan via bv. Symantec Online:
Gratis Scan van Symantec

De volgende fabrikanten detecteerden het virus al of hebben inmiddels DAT-bestanden vrijgegeven:
McAfee
Symantec
Sophos
Messagelabs
F-secure
Trend Micro
Norman ASA
Aladdin
Panda Software

Link:
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:
  • Bagageonline kortingscode: 30% Korting op uw bestelling Het bericht Bagageonline kortingscode verscheen eerst op VirusAlert Blog.
  • Albelli kortingscode: Elke maand een nieuwe kortingscode Het bericht Albelli kortingscode verscheen eerst op VirusAlert Blog.
  • New York Pizza kortingscode: voor een lekkere pizza deal Het bericht New York Pizza kortingscode verscheen eerst op VirusAlert Blog.
  • Greetz kortingscode: Korting op diverse cadeaus. Het bericht Greetz kortingscode verscheen eerst op VirusAlert Blog.
  • Douglas kortingscode: voor de lekkerste parfumerie Het bericht Douglas kortingscode verscheen eerst op VirusAlert Blog.
  • Vision Direct kortingscode: Korting op brillen & lenzen Het bericht Vision Direct kortingscode verscheen eerst op VirusAlert Blog.
  • A-mac kortingscode: voor korting op veel leuke artikelen Het bericht A-mac kortingscode verscheen eerst op VirusAlert Blog.
  • 24Dealstore kortingscode: Elke dag tref je hier een nieuwe deal Het bericht 24Dealstore kortingscode verscheen eerst op VirusAlert Blog.

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2016 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS