Dostawcy oprogramowania antywirusowego ostrzegają przed nowym wariantem robaka poczty elektronicznej systemu Windows, którego protoplasta pojawił się na początku tego roku. Robak może zainstalować konia trojańskiego na zaatakowanym komputerze i umożliwić hakerowi przejęcie kontroli nad takim komputerem.

W32/BadTrans.B lub po prostu BadTrans.B został po raz pierwszy wykryty w Wielkiej Brytanii. Worm jest na tyle odmienny od oryginalnego BadTrans.A, że niektóre firmy antywirusowe (m.in. Symantec, F-Secure i Sophos) zalecają uaktualnienie sygnatur w celu jego wykrycia i usunięcia. Jedynie Network Associates zapewnia, że produkt antywirusowy McAfee nie wymaga dla wykrycia BadTrans.B uaktualnienia sygnatur, jeżeli zawierają one sygnaturę BadTrans.A. Niezbędne jest jednak włączenie mechanizmu o nazwie "compressed file scaning" w desktopowym oprogramowaniu antywirusowym McAfee.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Po zainfekowaniu komputera pracującego pod systemem operacyjnym Windows, BadTrans.B rozprzestrzenia się pocztą elektroniczną pod adresy zawarte w książce adresowej Outlooka. Fałszywa przesyłka pojawia się w skrzynce pocztowej z jednym z piętnastu różnych załączników. Załączniki te mogą nosić m.in. jedną z nazw: Sorryaboutyesterday.doc, humor.doc, me_nude.doc, fun.doc lub hamaster.doc. Otwarcie takiego załącznika może spowodować zainfekowanie komputera. Jednak otwarcie pliku nie jest warunkiem koniecznym. Worm wykorzystuje lukę, związaną z MIME, a odkrytą na początku tego roku w oprogramowaniu klienckim Microsoft Outlook lub Outlook Express, która umożliwia uaktywnienie się worma bez otwarcia załącznika (usunięcie tej luki wymaga zastosowania odpowiednich łatek).

Jeżeli załącznik zawarty w przesyłce pocztowej zostanie uaktywniony, worm wykona kilka akcji osłabiających ochronę. Po pierwsze kopiuje się do pliku KERNAL32.exe w katalogu System Windows. Następnie, po zarejestrowaniu siebie jako usługi systemowej, pobiera informacje z kont użytkowników, m.in. hasło, i instaluje na lokalnej maszynie - pod nazwą KDLL.DLL - rejestrator klawiatury.

Robak rejestruje w zaszyfrowanym pliku użyte klawisze, adresy IP, datę i czas oraz nazwę każdej uruchomionej aplikacji. Następnie używa domyślnych ustawień poczty elektronicznej do połączenia z serwerem SMTP użytkownika w celu wysłania zgromadzonych informacji pocztą elektroniczną pod wybrany adres. Adres ten jest taki sam, jakiego używa BadTrans.A. BadTrans.B rozprzestrzenia się szybciej niż jego protoplasta.