fz-Home




Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Java / JS
Microsoft
Win 32
Win 3.1x
macOS
Unix
Amiga
OS/2, Atari, NeXT,...
   

© Frank Ziemann  –  Update: 02.09.2009


Extra-Blatt

I-Worm.BadAss

Ein E-Mail-Wurm ohne Schadensfunktion

BadAss ist ein E-Mail-Wurm, der sich der Funktionalität von MS Outlook bedient. In einigen Meldungen wird BadAss als 'Melissa-Klon' tituliert. Melissa (W97M.Melissa) ist ein Word-Makrovirus, BadAss hingegen einen selbstaendige EXE-Datei. Richtig scheint allerdings zu sein, dass BadAss aus dem Quellcode von W97M.Melissa.A entwickelt wurde, mit notwendigen Modifikatioen, um es unter VisualBasic als EXE kompilieren zu können.

Betroffene Systeme:
Windows 95/98/NT/2000
MS Outlook

Die etwa 25 kB grosse Datei BADASS.EXE kann kommt als Anhang (Attachment) einer E-Mail herein. Sie kann aber auch umbenannt werden und verbreitet sich dann auch mit dem neuen Dateinamen weiter.
Die infizierten Mails enthalten im Betreff (Subject, Titel) den Text 'Moguh...' und die Nachricht lautet: 'Dit is wel grappig! :-)'.

Führt der Mail-Empfänger die Datei aus, startet BadAss mit einer Meldung:
An error has occured probably because your cunt smells bad...

Versucht man, auf [Nein] zu klicken, weicht die Dialogbox stets aus, man kann nicht mit [Nein] antworten:

dito, Ja/Nein vertauscht
Klickt man auf [Ja], erscheint folgende Meldung:
Contact your local supermarket for toilet paper...

Unterdessen trägt sich BadAss in der Registry mit folgendem Schlüessel und Wert ein:

HKeyCurrentUser\Software\VB and VBA Program Settings\Windows\CurrentVersion
Wert: "CMCTL32"="00 00 00 01"

BadAss durchsucht die Adressbücher von Outlook und versendet sich an die gefundenen Adressen. Es sendet kein zweites Mal von demselben Rechner, das stellt es mittels o.a. Registry-Schlüssel sicher.

BadAss enhält keine weiteren Schadensroutinen. Es infiziert oder manipuliert keine Dateien und spioniert auch keine Daten aus (ausser den E-Mail-Adressen). Es ist nicht speicherresident und wird also auch nicht bei jedem Windows-Start geladen. Die Datei kann nicht nur umbenannt werden, sie kann auch auf ihren Weg auf einem der Wirtssysteme mit einem Virus infiziert werden, den BadAss dann weiterverbreitet.

Updates für Ihre Antivirus-Software sind inzwischen verfügbar.

Original-Info:

zurück zur Hoax-Seite | ntivirus-Seite | Übersicht