"Червь" может активизироваться, даже если прикрепленный файл не будет открыт; вирус использует ошибку Outlook, связанную с обработкой MIME-кода (соответствующая "заплатка" выпущена еще 9 месяцев назад). После запуска вирус копирует себя в системный каталог Windows под именем KERNAL32.EXE, регистрируется в качестве системной службы, извлекает информацию из учетной записи пользователя и устанавливает модуль протоколирования нажатых клавиш - KDLL.DLL. Все вводимые символы, IP-адрес системы и названия исполняемых приложений сохраняются в зашифрованном файле, который отсылается на тот же самый адрес электронной почты, который использовался первым вариантом вируса. Хотя данный адрес давно является недействительным, машина, зараженная BadTrans.B, остается уязвимой для некоторых хакерских инструментов. BadTrans.B распространяется быстрее предшественника; отмечены массовые случаи заражения в Великобритании и США.

Network World Fusion, США

Поделитесь материалом с коллегами и друзьями