Badtrans-B: ein Aufruf zu umsichtiger Antiviren-Politik, sagt Sophos.

November 26, 2001 Sophos Press Release

Sophos, weltweit einer der führenden Antiviren-Hersteller hat vor dem Hintergrund des neuen Wurms Badtrans-B (alias W32/Badtrans-B) Unternehmen erneut gedrängt, zu prüfen, ob sie ausreichend vor Schäden verursachenden Codes geschützt sind.

Sophos hat zahlreiche Meldungen über Badtrans-B als "in the wild" erhalten und ruft Anwender auf, ganz einfache Methoden zum sicheren Arbeiten mit dem Computer anzuwenden. Dazu gehört beispielsweise, die Antiviren-Software auf aktuellem Stand zu halten, Sicherheitspatches von Microsoft zu installieren und Attachments mit doppelter Erweiterung zu blockieren.

"Warum sollte man es den Virenschreibern so einfach machen? Wenn Unternehmen nach dem LoveLetter-Virus im Mai 2000 Dateien mit doppelter Erweiterung vor dem Eintritt in ihr Netzwerk blockiert hätten, wären sie von Viren wie Badtrans, Sircam, Anna Kournikova, Apology und zahlreichen anderen E-Mail fähigen Würmern nicht betroffen gewesen," sagt Gernot Hacker, Senior Technology Consultant bei Sophos Anti-Virus. "Einer der Wege, wie dieser Wurm angreift, ist über eine Sicherheitslücke in Microsoft Outlook. Es ist wirklich erstaunlich, dass viele Anwender, obwohl Microsoft eine Lösung für dieses Sicherheitsloch bereits vor acht Monaten zur Verfügung gestellt hat, das Patch immer noch nicht installiert haben."

Badtrans-B ist ein E-Mail fähiger Wurm, der eine bekannte Schwachstelle in bestimmten Versionen von Microsoft Outlook Express 5 ausnutzt, um die angehängte Datei automatisch auszuführen. Der Name der angehängten Datei wird zufällig erzeugt (so entstehen Namen wie YOU_ARE_FAT!.DOC.pif und ME_NUDE.MP3.scr). Die Datei ist jedoch aufgrund ihrer doppelten Erweiterung leicht zu erkennen.

Wenn die angehängte Datei gestartet wird, kopiert sich der Wurm in das Windows-Systemverzeichnis und wird beim nächsten Start von Windows aktiv. Der Wurm legt weiterhin ein Trojanisches Pferd (Troj/PWS-AV) ab, das Kennwörter und vertrauliche Daten stehlen kann.

Sophos Anti-Virus hat ein Update zur Verfügung gestellt, das vor Badtrans-B schützt.

Sophos empfiehlt Anwendern von Microsoft-Produkten, sich in der Benachrichtigungs-Mailing-Liste von dem Security Bulletin von Microsoft anzumelden. Nähere Informationen finden Se unter Microsoft's website.