Badtrans - odpowiada na nie przeczytane listy
- Krzysztof Arkuszewski,
- 13.04.2001
Badtrans jest 32-bitowym programem, pełniącym funkcję robaka internetowego.
Automatycznie przesyłaja swoje kopie pocztą elektroniczną na e-maile, na które nie została wysłana odpowiedź. Dodatkowo instaluje on w systemie konia trojańskiego.
Zwykle robak pojawia się w komputerze ofiary w postaci odpowiedzi na wysłany przez nią list elektroniczny, do której dołączony jest plik o jednej z następujących nazw:
Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif
Po uruchomieniu przez użytkownika pliku załącznika, robak umieszcza na dysku konia trojańskiego w katalogu systemu Windows w pliku hkk32.exe, a następnie go uruchamia.
Zobacz również:
Później Badtrans tworzy własną kopię w pliku inetd.exe oraz dodaje wpis w sekcji run= w pliku win.ini, czego efektem jest uruchamianie robaka przy każdym starcie systemu Windows. W celu zatarcia śladów działania wyświetla okienko dialogowe sugerujące, że uruchomiony przez użytkownika plik załącznika był uszkodzony i nie powiodło się jego uruchomienie.
Po ponownym uruchomieniu komputera aktywizuje się również robak, który po 5 minutach rozpoczyna procedurę rozprzestrzeniania się. Polega ona na wyszukaniu wszystkich listów, na które użytkownik jeszcze nie odpowiedział (poprzez funkcje MAPI), a następnie odpowiedzenie na nie, załączając plik o jednej z powyższych nazw, będący kopią robaka.