Het Badtrans.B virus slaat om zich heen

Virussen Een nieuw virus genaamd W32/Badtrans.B-virus slaat flink om zich heen. Het virus werd op 24 november ontdekt en wordt momenteel actief verspreid over het internet. Badtrans.B is een mass mailing internet worm die zich via verspreidt door ongelezen emailberichten in Microsoft Outlook te beantwoorden.

De worm verspreidt zich via het Messaging Application Programming Interface (MAPI) waarmee direct een bericht (e-mail of fax) kan worden gestuurd vanuit bijvoorbeeld een tekstverwerker. Het virus wordt geactiveerd zodra het mailtje in het voorbeeldscherm verschijnt. Er hoeft dus geen bijlage geopend te worden om het virus te activeren.

Het virus gebruikt nieuwe technieken die voorkomen in Aliz en Nimda en heeft in aantal slachtoffers het Sircam virus al ingehaald. De '.B'-extensie in de naam staat voor de 'bad data transmission'-boodschap die het bij zijn slachtoffers aflevert. Wanneer Badtrans.B wordt geactiveerd laat het tevens een zogenaamde Remote Access Trojan (RAT) achter in de Windows directory:

Het virus-mailtje komt binnen zonder echte onderwerpregel, gewoon 'RE:'. Als de bijlage van het virusmailtje actief wordt, kopieert het zichzelf in het Windows-systeem onder de naam KERNEL32.EXE. Daarnaast verandert het register HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\RunOnce waardoor de worm in werking treedt zodra de computer opnieuw opstart. Ten slotte plaatst het virus het bestand kdll.dll op de computer, een bestand waarachter een Trojaans paard verscholen zit die wachtwoorden probeert te stelen. Een Trojaans paard is een programmaatje dat ontworpen is om een taak uit te voeren waar de gebruiker niet om gevraagd heeft.

Het is mogelijk dat de onderwerpregel, tekst en attachement van het mailtje variabel zijn. Een patch voor het Badtrans.B-virus kan hier gedownload worden. Met dank aan T-Blizzard voor het submitten van de link.

Door Edo Aneke

Nieuwsposter

Feedback • 27-11-2001 16:51 102

27-11-2001 • 16:51

102

Bron: Nu.nl

Lees meer

Virussen kostten bedrijven ruim € 14 miljard in 2001
Virussen kostten bedrijven ruim € 14 miljard in 2001 Nieuws van 10 januari 2002
Goner virus gebruikt Outlook en ICQ voor verspreiding
Goner virus gebruikt Outlook en ICQ voor verspreiding Nieuws van 5 december 2001
Bedrijfsnieuws

Reacties (102)

-Moderatie-faq
102
99
59
7
2
5
Wijzig sortering
0siris 27 november 2001 17:08
voor iedereen met de standaard cliches omtrent microsoft,en het openen van attachments verdergaat, wil ik even wijzen op het feit dat je je mail niet eens open hoeft te maken, maar dat het virus gewoon aan het MAPI'en gaat zodra een oude/ongepatchte versie van Outlook het mailtje binnen krijgt. Het is deze keer wederom Outlook, dat moet ik toegeven, maar via windowsupdate was dit inderdaad al tijden te verhelpen, het wachten was op een virus dat deze exploit..ehr...exploiteert :)
Het nadeel van dat windowsupdaten is dat je voor alle computers nogal wat moet gaan downloaden, niet elk bedrijf / elke persoon heeft zo'n internettoegang. Ik heb vannacht de hele nacht in het bedrijf waar ik werk zitten windowsupdaten. We hebben pas een tijdje ADSL daar, en ik heb verder nooit meer aan WindowsUpdate gedacht in dit tijd |:( De virusdefinities van Norton zijn van 24 november, 4 dagen te laat dus eigenlijk. Die van McAfee waren van 21 november, een dag te laat. Dus de kans dat het virus ongemerkt binnenkomt is vrij groot, maar het virus had geen schijn van kans gehad als de mensen OF geen Outlook gebruikten, OF een wat beveiligdere versie hadden gehad.

De mensen blijven outlook gebruiken omdat het bij Windows zit en/of bij Internet Explorer. Het is een makkelijk te gebruiken client. Als je op tijd patches toepast is het ook goed te doen met die veiligheid. Wat ik nu iig ga doen voor de mensen met Outlook in mijn omgeving, is op zoek naar een programma dat bij zo'n MAPI-call altijd nog een keer om bevestiging vraagt. Ik ben de naam kwijt, maar er is zo'n superklein programmaatje dat dat voor je regelt.

Mocht iemand hierover ideeen hebben, post dan ff hieronder (lijkt me niet al te offtopic, omdat je met zo'n programma al die doormailvirussen eigenlijk kan stoppen).

ALS je het virus te pakken hebt (of met een virusscanner onderschept hebt), mail dan ook de afzender en stop dit virus, want het is ZEER hinderlijk.
EfBe @0siris27 november 2001 18:05
Outlook XP flikkert extensies die kunnen worden geexecuteerd standaard al weg, dus die users hebben nergens last van.

Daarna kun je je security zone binnen OE en Outlook op 'restricted' zetten en daarin ALLES uitzetten, dus alle scripting, active x etc.

* 786562 Otis
Swinnio @EfBe27 november 2001 19:33
Das allemaal mooi en aardig, maar dan kun je dus geen enkel attachment meer zonder gezeik openen, dus ook geen die je absoluut wel kunt vertrouwen.
Dat heb ik er niet voor over. Kun je net zo goed je floppydrive en netwerkkabel eruit trekken; weet je ook zeker dat je geen virussen krijgt.
servies @Swinnio27 november 2001 20:00
Hoho, dat zie je niet helemaal goed....

Je moet de CDROM speler er ook nog uithalen :+
Anoniem: 28557 @EfBe28 november 2001 09:28
Outlook XP flikkert extensies die kunnen worden geexecuteerd standaard al weg, dus die users hebben nergens last van.
Ik vind dat dus weer een typische Microsoft oplossing: in plaats van het probleem oplossen, de symptomen bestrijden.

Weer een reden erbij om geen Outlook te gebruiken: een programma dat op eigen houtje bepaalt dat het MIJN bestanden kan weggooien hoef ik niet.

Ik gebruik Eudora, en behalve dat die nauwelijks gevoelig voor virussen is, zet de attachments direct op schijf (bij mij bv. D:\download), zodat de virusscanner ze kan afvangen... bovendien wordt je mail-archief niet zo groot...
hufkes @0siris28 november 2001 09:16
De virusdefinities van Norton zijn van 24 november, 4 dagen te laat dus eigenlijk.
Wat bedoel met 4 dagen te laat? Het virus is de 24e ontdekt en wordt ook door de defs van de 24e afgevangen hoor! Super service juist, precies zoals we van Norton gewend zijn!
alt-92 @0siris29 november 2001 17:33
Het nadeel van dat windowsupdaten is dat je voor alle computers nogal wat moet gaan downloaden, niet elk bedrijf / elke persoon heeft zo'n internettoegang. Ik heb vannacht de hele nacht in het bedrijf waar ik werk zitten windowsupdaten. We hebben pas een tijdje ADSL daar, en ik heb verder nooit meer aan WindowsUpdate gedacht in dit tijd
Daarvoor is dus Technet en Corporate WindowsUpdate.

Hoef je de files maar een keer naar binnen te halen en kun je op je lokale netwerk updaten.
Als je clients met win2k hebt, HFNetChk gebruiken (ook al is die een beetje buggy af en toe).
@r!k 27 november 2001 16:54
En voordat iedereen weer begint met microsoft afzeiken, deze patch is al een paar maanden te downloaden!!

Maar goed voor ons tweakers levert dit natuurlijk geen enkel gevaar op :)
Anoniem: 33811 @@r!k27 november 2001 16:57
Voor internet explorer 6.0 NL is er geen patch te vinden, is dit soms al verwerkt in 6.0 ?
Tinto @Anoniem: 3381127 november 2001 17:02
Affected Software:
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Note: Internet Explorer 5.01 Service Pack 2 is not affected by this vulnerability.
Ik denk IE 6.0 dus ook niet.
doubleduh @Anoniem: 3381127 november 2001 17:53
de patch staat op mozilla.org ;)
Rocky @Anoniem: 3381127 november 2001 22:29
Voor ie 6.0 Nl gewoon naar windows update gaan krijg je vanzelf de patch voorgeschoteld

http://v4.windowsupdate.microsoft.com/nl/default.asp
Anoniem: 38024 @@r!k27 november 2001 21:31
Wel vreemd dat de virus nu pas echt verspreid na maanden al bekent te zijn en nooit binnen een dag dat de security leak uitkomt.
Deze exploit is dus al sinds maart bekend, veel eerder dan die van de sircam virus.
Mr.Aargh @Anoniem: 3802428 november 2001 00:30
Dit is een nieuwe versie die oa Nimda en Eiza functionaliteit heeft
Swinnio 27 november 2001 16:56
Uit de gegeven link voor de patch:
Microsoft Security Bulletin (MS01-020) Print

Incorrect MIME Header Can Cause IE to Execute E-mail Attachment
Originally posted: March 29, 2001

Affected Software:

Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Note: Internet Explorer 5.01 Service Pack 2 is not affected by this vulnerability.
Hieruit blijkt dat er voor IE6 gebruikers geen patch nodig is, toch? Had IMHO wel even in de post vermeld mogen worden...

/edit: uit dezelfde link (overigens NIET n.a.v. de post van Executer):
V1.2 (September 21, 2001): Bulletin updated to discuss need to perform a Full or Typical Install when eliminating this vulnerability via an IE 6 upgrade.
Anoniem: 2090 27 november 2001 16:55
Dit is een van de redenen dat ik een andere mail-client heb genomen.
Carda @Anoniem: 209027 november 2001 18:33
MAPI = universeel :)

Elke windows bak heeft daar last van :)

MAPI werkt namelijk met de default mail client, dus welk programma je ook gebruikt het werkt met Mapi ;)
Zpottr @Carda27 november 2001 20:33
Sorry, maar da's niet waar. Geinfecteerd raken zonder outlook (express) is een stuk lastiger, zo niet onmogelijk (Mozilla herkent het corrupte attchment gewoon niet); het is wel zo dat dit virus outlook (express) niet nodig heeft om zichzelf verder te verspreiden.
Maar goed ook, anders was ik ook mooi het haasje geweest :)
MossMan @Zpottr28 november 2001 14:06
Of je kunt net zo stom zijn als ik 's ochtends vroeg met kater...

Doe ik mijn best om erachter te komen wat er in dat vreemde mail zit (in Opera)... uiteindelijk heb ik zelf een file eruit ge-UUdecoded. Denk ik "is vast een virus" en ga prompt er op dubbel-klikken!

Maar goed, eventjes Windows verlaten en die twee files deleten, een beetje opruimen en DrWeb laten scannen en alles is weer naar behoren.
Mentalist @Carda27 november 2001 18:37
Ook hotmail?
bloasfist @Anoniem: 209027 november 2001 16:56
me2! Ik gebruikte toch al opera (vanwege het feit dat opera veel sneller browst), maar ben sinds kort ook de mailfunctie binnen opera gaan gebruiken.
Anoniem: 26970 @Anoniem: 209027 november 2001 20:49
Het werkt zelfs bij webbased mail bekijken! Ik kreeg onmiddelijk een pop-up explosion, waarschijnlijk staat het virus er nu ook op (op die computer op school dus }> ).
tiguan 27 november 2001 16:54
Hiervan heb ik er inderdaad al 2 mogen ontvangen. Maar gelukkig doen die virusscanners hun werk toch wel goed :)
Dope-E @tiguan27 november 2001 16:56
Gisteravond 1!
Norton AV 2002 deed zijn werk perfect.
Al zou ik iedereen willen waarschuwen om nooit een attachment te openenen dat pif als extensie heeft!
metalant @Dope-E27 november 2001 17:09
Niet alleen een PIF extensie.

Ik weiger pertinent alle deze extensies:
*.EXE
*.COM
*.BAT
*.PIF
*.SCR
*.VBS
*.INF
*.REG
*.WSF
*.LNK

Als iemand mij dat wil sturen, dan pakt hij/zij het maar in met WinACE.
Anoniem: 9547 @metalant27 november 2001 19:10
Heb je er wel eens aan gedacht om een mailtje met de rechtermuis knop te openen en dan via eigenschappen, tabblad details naar de bericht code te gaan kijken?

Zo kun je een heel e-mail lezen zonder dat een virus actief kan worden wand je opent hem in platte ascii.
Onbetrouwbare e-mailtjes bekijk ik altijd eerst op die mannier om later te beslissen wat er mee te doen is.
Iedere vorm van programma code haal je er zo namenlijk uit dus ook de java en VSB stukken.
Mentalist @metalant27 november 2001 18:36
Ik open geen enkele attachment, tenzij die in een mail zit van iemand die ik ken en de file de extensie *.jpg *.gif *.mpg o.i.d. heeft. Ik open sowieso al geen mail van mensen die ik niet ken met een vaag onderwerp. Een mail met als onderwerp "FREE PORN" open je toch nog nieteens? Ik heb trouwens al wel een mail gehad met als onderwerp "RE:" maar ja, dat soort vaag spul gaat meteen in de trashcan zodra ik het zie... En dan heb ik ook nog eens altijd de virusscanner draaien, zo zal er niet snel een virus op de pc komen...
Mentalist @metalant27 november 2001 23:24
Ik gebruik hotmail, dus wat doe ik...

Verdacht mailtje>doel opslaan als>naar de desktop ofzo>WYSIWYG html editor starten>onbetrouwbare mail in html van desktop in html editor laden>lezen

Geen virus dat zo actief wordt...
GREENGOBL @Dope-E28 november 2001 18:22
Mee eens, maar ik kreeg net ook een mailtje met dit virus en ik hoefde niets te openen. Zodra ik hem aanklikte voor een voorbeeld werd het virus al actief. Gelukkig had ik gisteren net mijn scanner up to date gemaakt en hield het virus tegen.
Battle Bunny 27 november 2001 17:10
Als iemand deze methode nou eens zou gebruiken om een "virus" te verspreiden die gebruikers verteld dat ze hun Windows zo moeten instellen dat het de extensies weergeeft, en ook om patches te installeren zou het een stuk minder last op leveren.
Anoniem: 35232 @Battle Bunny27 november 2001 17:22
Bij dit virus gaat het extensie verhaal niet op... als je goed gelezen had staat er dat dit virus zich automatisch uitvoert bij het bekijken van het bericht. Je hoeft dus geen vaag bestand te openen.

offtopic:
Kreeg er vandaag ook eentje binnen, gelukkig heb ik NAV 2002 lopen, dus dat ding had geen schijn van kans :).
Mr.Aargh @Anoniem: 3523228 november 2001 00:32
Hij execute automatisch als je een ungepatchte Outlook Express hebt.

En het is een .pif dus gewoon een type .bat file ...
0siris @Battle Bunny27 november 2001 17:12
Dat kun je gewoon niet maken als Microsoft zijnde (of wie dan ook), denk eens aan de schadeclaims die je krijgt! En met extensie weergeven had je de infectie niet kunnen voorkomen, het bewuste mailtje ontvangen met een Outlook versie zoals genoemd is al genoeg...
roelio 27 november 2001 17:14
en heeft in aantal slachtoffers het Sircam virus al ingehaald
vertel mij eens hoe je dat kunt weten...
0siris @roelio27 november 2001 17:20
Kun je bijv. lezen op http://www.messagelabs.com/viruseye/report.asp?id=86
StGermain 27 november 2001 22:03
ik heb een kdll.dll in mijn winnt/system32 maar een up to date avp vind niks... en die registry key is er niet... zou het kunnen dat er ook een onschuldige kdll.dll bestaat????
Mr.Aargh @StGermain28 november 2001 00:34
Nope maar mayB herkent jouw scanner de ingebakken trojan/keylogger niet. Probeer F-Secure of F-Prot
Dedovekwartel 27 november 2001 23:33
En hoe zit het nou voor de mensen die IncrediMail gebruiken :? ? Worden wij ook slachtoffer van? Ïk gebruik deze emailprogramma naar volle tevredenheid. Ik gebruik geen virusscanner... En nog geen virus in mijn systeem gehad al anderhalf jaar lang :*) !
Anoniem: 34243 @Dedovekwartel28 november 2001 09:10
Je hebt de laatste 1.5 jaar geen virus gehad :?
en wat gebruik je om dat te ontdekken???? :Z

Juist een virus scanner |:(
BurningSheep @Dedovekwartel29 november 2001 17:27
idd, gewoon negeren, misschien gaat het vanzelf wel weg ;)
MTops 28 november 2001 18:36
Ik heb nu twee (possibly infected) mailtjes in m'n mailbox liggen. Ze hebben allebei als subject "Re:" en zijn allebei 31 Kb...
Ik neem aan dat dit het virus is dat hier beschreven wordt...
Maar ik draai XP en heb dus geen last van dit virus?
Ik kan gewoon dit mailtje bekijken of het niet heel toevallig toch iets anders is?
Ik vind het altijd zo'n gezeik met virus scanners, die infecteren je hele systeem... :(
Maar ja, als het moet dan moet het...
markvt @MTops28 november 2001 20:16
ik heb er al 4 gehad :)
allemaal subject: Re:


check deze anders eens:

http://clinic.mcafee.com/clinic/ibuy/campaign.asp?ci d=2608

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq