Újabb féreg: BadTrans.B

A BadTrans.B egy áprilisban megjelent vírus módosított változata, amely az Outlook Express 5 azon biztonsági rését használja ki, amelyet például a Nimda féreg is kiaknázott. E révén a kártékony program akkor is kifejtheti hatását, ha a felhasználó nem nyitja meg a levelet, csak az e-mail preview-ját tekinti meg.

A BadTrans.B a MAPI-t (Mail Application Protocol Interface) használva továbbítja magát mindazon e-mail címekre, amelyek az áldozatnál, az olvasatlan levelek között szerepelnek. Továbbá egy kdll.dll nevű fájlt is elhelyez a számítógépen, amely valójában egy jelszavakat lopó trójai program, valamint egy billentyűleütéseket rögzitő programot is aktivizál a gépen (HKSDLL.DLL). A féreg a rendszerleíró adatbázisban az alábbi helyre írja be magát: HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce, és a következő értéket módosítja: kernel32 = kern32.exe.

Általában a ”Re:(csatolt fájl neve)”, illetve ”(Re: előző üzenet tárgya)” tárgyat tartalmazó e-mailben érkezik a féreg, amely különböző SCR és PIF fájlokban terjed.