Новый троян Badtrans.B, распространяющийся по электронной почте в виде вложенных файлов, вышел на первое место по распространенности в Сети, обогнав лидировавший до этого почтовый червь SirCam.
Как пишет ИА "Нетоскоп", сразу несколько антивирусных компаний 26 ноября сообщили о его появлении и широком распространении в Сети. Badtrans.B является модификацией более старого червя Badtrans.
По данным компании MessageLabs, 26 ноября червь распространялся по Сети со скоростью 100 копий в минуту, и уже 25 ноября вечером потеснил SirCam с первого места в списке самых активных вирусов.
В отличие от SirCam, единственное вредоносное последствие активизации которого - потенциальная возможность утечки секретной информации, Badtrans.B может нанести реальный вред пользователю зараженной системы.
Badtrans.B способен перехватывать сигналы с клавиатуры, а также сохранять на жестком диске зараженного компьютера и отсылать на определенный адрес перехваченные таким образом пароли и логины пользователя.
Для активизации червь использует известную дыру в Microsoft Outlook, благодаря которой Badtrans.B активизируется самостоятельно, без вмешательства пользователя.
По сообщению "Лаборатории Касперского", червь (в классификации "Лаборатории" - BadtransII) приходит в письме от реального или ложного отправителя. Ложный случайно выбирается из списка - например: "Anna", "JUDY", "Rita Tulliani", "Tina", "Kelly Andersen", "Andy" и другие.
В теле письма ничего не содержится. В поле "Тема" может быть написано "Re:". Имя вложенного файла случайно выбирается из нескольких вариантов: "New_Napster_Site", "Me_nude", "Sorry_about_yesterday" и другие. При этом вложенный файл имеет двойное расширение. Первое расширение может быть представлено одним из трех вариантов: .doc, .zip или mp3. Второе расширение может быть либо .scr, либо .pif.
Сама "Лаборатория" получила червя с таким именем и расширением: Resume.doc.scr.
