© Frank Ziemann – Update: 02.09.2009
Extra-Blatt
I-Worm.BadAss
Ein E-Mail-Wurm ohne Schadensfunktion
BadAss ist ein E-Mail-Wurm, der sich der Funktionalität von MS Outlook bedient. In einigen Meldungen wird BadAss als 'Melissa-Klon' tituliert. Melissa (W97M.Melissa) ist ein Word-Makrovirus, BadAss hingegen einen selbstaendige EXE-Datei. Richtig scheint allerdings zu sein, dass BadAss aus dem Quellcode von W97M.Melissa.A entwickelt wurde, mit notwendigen Modifikatioen, um es unter VisualBasic als EXE kompilieren zu können.
- Betroffene Systeme:
- Windows 95/98/NT/2000
- MS Outlook
Die etwa 25 kB grosse Datei BADASS.EXE kann kommt als Anhang (Attachment)
einer E-Mail herein. Sie kann aber auch umbenannt werden und verbreitet sich
dann auch mit dem neuen Dateinamen weiter.
Die infizierten Mails enthalten im Betreff (Subject, Titel) den Text
'Moguh...' und die Nachricht lautet:
'Dit is wel grappig! :-)'.
Versucht man, auf [Nein] zu klicken, weicht die Dialogbox stets aus, man kann nicht mit [Nein] antworten:
Unterdessen trägt sich BadAss in der Registry mit folgendem Schlüessel und Wert ein:
HKeyCurrentUser\Software\VB and VBA Program Settings\Windows\CurrentVersion
Wert: "CMCTL32"="00 00 00 01"
BadAss durchsucht die Adressbücher von Outlook und versendet sich an die gefundenen Adressen. Es sendet kein zweites Mal von demselben Rechner, das stellt es mittels o.a. Registry-Schlüssel sicher.
BadAss enhält keine weiteren Schadensroutinen. Es infiziert oder manipuliert keine Dateien und spioniert auch keine Daten aus (ausser den E-Mail-Adressen). Es ist nicht speicherresident und wird also auch nicht bei jedem Windows-Start geladen. Die Datei kann nicht nur umbenannt werden, sie kann auch auf ihren Weg auf einem der Wirtssysteme mit einem Virus infiziert werden, den BadAss dann weiterverbreitet.
Updates für Ihre Antivirus-Software sind inzwischen verfügbar.
Original-Info:- AVP Virus Encyclopedia (engl.)
- NAI/McAfee
- Symantec (engl.)