Het Badtrans.B virus slaat om zich heen

Een nieuw virus genaamd W32/Badtrans.B-virus slaat flink om zich heen. Het virus werd op 24 november ontdekt en wordt momenteel actief verspreid over het internet. Badtrans.B is een mass mailing internet worm die zich via verspreidt door ongelezen emailberichten in Microsoft Outlook te beantwoorden.

De worm verspreidt zich via het Messaging Application Programming Interface (MAPI) waarmee direct een bericht (e-mail of fax) kan worden gestuurd vanuit bijvoorbeeld een tekstverwerker. Het virus wordt geactiveerd zodra het mailtje in het voorbeeldscherm verschijnt. Er hoeft dus geen bijlage geopend te worden om het virus te activeren.

Het virus gebruikt nieuwe technieken die voorkomen in Aliz en Nimda en heeft in aantal slachtoffers het Sircam virus al ingehaald. De '.B'-extensie in de naam staat voor de 'bad data transmission'-boodschap die het bij zijn slachtoffers aflevert. Wanneer Badtrans.B wordt geactiveerd laat het tevens een zogenaamde Remote Access Trojan (RAT) achter in de Windows directory:

Het virus-mailtje komt binnen zonder echte onderwerpregel, gewoon 'RE:'. Als de bijlage van het virusmailtje actief wordt, kopieert het zichzelf in het Windows-systeem onder de naam KERNEL32.EXE. Daarnaast verandert het register HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\RunOnce waardoor de worm in werking treedt zodra de computer opnieuw opstart. Ten slotte plaatst het virus het bestand kdll.dll op de computer, een bestand waarachter een Trojaans paard verscholen zit die wachtwoorden probeert te stelen. Een Trojaans paard is een programmaatje dat ontworpen is om een taak uit te voeren waar de gebruiker niet om gevraagd heeft.

Het is mogelijk dat de onderwerpregel, tekst en attachement van het mailtje variabel zijn. Een patch voor het Badtrans.B-virus kan hier gedownload worden. Met dank aan T-Blizzard voor het submitten van de link.