BadransII jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz instalowaniu w systemie konia trojańskiego przechwytującego naciśnięcia klawiszy klawiatury. Robak zwykle pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat: Re:

Treść:

Załącznik: [nazwa zgodnie z poniższym schematem]

Plik załącznika ma nazwę składającą się z trzech elementów, losowo wybieranych z poniższych list:

<b>Element 1:</b>

HUMOR

DOCS

S3MSONG

ME_NUDE

CARD

SEARCHURL

YOU_ARE_FAT!

NEWS_DOC

IMAGES

PICS

README

New_Napster_Site

Fun

HAMSTER

SETUP

News_doc

Sorry_about_yesterday

INFO

Stuff

<b>Element 2:</b>

.DOC

.MP3

.ZIP

<b>Element 3:</b>

.pif

.scr

W rezultacie nazwy załącznika wyglądają podobnie do np. takiej: HUMOR.DOC.scr.

Po uruchomieniu pliku załącznika robak tworzy na dysku swoją kopię w pliku c:\windows\system\kernel32.exe oraz tworzy plik c:\windows\system\kdll.dll (pliki te należy usunąć), a także modyfikuje rejestr tak by był uruchamiany przy każdym starcie systemu Windows. Modyfikowany rejestr to:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\Kernel32=kernel32.exe

Na koniec robak rozsyła swoje kopie do wszystkich adresatów odnalezionych w programie pocztowym.

Zobacz również:

• Google zmienia algorytmy - więcej reklam w Gmailu