
*** Beschreibung DECBAD.EXE / DECBAD.PAS ***

Copyright (c) 2001-11-29 c't (http://www.heise.de/ct)
Autor: Andreas Marx (amarx@gega-it.de, http://www.av-test.de)


Der Wurm Win32/Badtrans.B legt auf infizierten Rechnern
eine verschlsselte Datei cp_25389.nls im
Windows\System-Verzeichnis an, in der er alle
Tastatureingaben mitprotokolliert, wenn er an Hand der
Titelzeile des aktuellen Fensters meint, der Benutzer
wuerde in Kuerze ein Passwort eingeben.  Spter sendet
er diese an eine Liste von E-Mail-Adressen.

Dieses Programm dient dazu, die mitprotokollierten
Eingaben wieder lesbar zu machen und so ggf. den
entstandenen Schaden abzuschtzen.


Aufruf: DECBAD Eingabedatei [Ausgabedatei],

wobei die Eingabedatei in der Regel cp_25389.nls
ist. Wurde keine Ausgabedatei spezifiziert, wird der
Inhalt auf dem Bildschirm ausgegeben. Mitprotokollierte
Zeichen kleiner ASCII 32 oder grer ASCII 127 werden
in Leerzeichen konvertiert.

Das Programm ist in Borland Pascal 7.0 geschrieben und
unter DOS (16 Bit) kompiliert, daher kann es nicht mit
langen Dateinamen umgehen. Weiterhin wurde auf eine
Fehlerbehandlungsroutine (z.B. wenn die Eingabedatei
nicht existiert) auf Grund der Einfachheit des
Programms verzichtet.


Das Programm steht unter GPL und darf unter dieser
Lizenz frei weitergegeben werden (siehe Copyright.txt).

Fr die Funktionsfhigkeit bzw. durch den Gebrauch
mglicherweise entstehende Schden kann keine Haftung
bernommen werden.


### ENDE DER DATEI ###
