Melissa-Klon "BadAss" nicht so schlimm
Wie die gefürchtete Melissa greift "I-Worm.BadAss" auf das Adressbuch von MS-Outlook zu und verschickt sich selbst an alle dort eingetragenen Adressen. Funktionen im Code des Wurmes ähneln "Melissa" - BadAss dürfte von einer abgeänderten Melissa-Quelle kompiliert worden sein.
Das dürfte schon alles an Ähnlichkeiten gewesen sein, die auffälligen Dialogfenster bei der Selbstinstallation des Wurms [siehe unten] verhindern, was Melissas größte Stärke war: sich unbemerkt und schnell weiterzuverbreiten.
Der Wurm selbst ist eine in Visual Basic geschriebene, 25 Kb große EXE-Datei, die sich durch Mailattachments verbreitet, die ursprünglich badass.exe hießen, aber auch manuell umbenannt werden können.
Als Würmer bezeichnet man Viren, die sich selbsttätig über Netzwerke verbreiten können. Melissa, der bisher verheerendste Wurm, hatte im Frühjahr Tausende Mailserver lahm gelegt.
Das Gegenmittel von AVPWas beim Start von BadAss passiert
Sobald badass.exe startet, sucht der Wurm nach MS-Outlook-Datenbanken und versendet sich mit dem Subject "Moguh" an alle Empfänger. Damit dies pro Eintrag nur einmal passiert - offenbar aus Gründen der Tarnung, um auch neu hinzukommende Adressen infizieren zu können -, trägt sich das Programm in die System-Registry ein und prüft diese bei jedem Start:
HKCU\SoftWare\VB and VBA Program Settings\Windows\CurrentVersion "CMCTL32"="00 00 00 01"
Obszöne Inserts
Was dann passiert, erinnert an das bekannte Scherzprogramm Win.Stupid. Eine Dialogbox erscheint: "Kernel32 An error has occured probably because your cunt smells bad. Is this really so? [ Yes ] [ No ]" - wobei der Wurm kein "No" zulässt. Wird [Yes] betätigt, gibt der Wurm eine weitere Meldung aus und startet die Infektions-Routine: "WIN32 Contact your local supermarket for toiletpaper and soap to solve this problem. [ OK ]"