Алексей Рерих

Новый троян Badtrans.B, распространяющийся по электронной почте в виде вложенных файлов, вышел на первое место по распространенности в Сети, обогнав лидировавший до этого почтовый червь SirCam.

Как сообщает CNN, сразу несколько антивирусных компаний в понедельник сообщили о его появлении и широком распространении в Сети. Badtrans.B является модификацией более старого червя Badtrans.

По данным компании MessageLabs, приводимым Wired News, в понедельник червь распространялся по Сети со скоростью 100 копий в минуту, и уже в воскресенье вечером потеснил SirCam с первого места в списке самых активных вирусов.

В отличие от SirCam, единственное вредоносное последствие активизации которого — потенциальная возможность утечки секретной информации, Badtrans.B может нанести реальный вред пользователю зараженной системы.

Badtrans.B способен перехватывать сигналы с клавиатуры, а также сохранять на жестком диске зараженного компьютера и отсылать на определенный адрес перехваченные таким образом пароли и логины пользователя.

Для активизации червь использует известную дыру в Microsoft Outlook, благодаря которой Badtrans.B активизируется самостоятельно, без вмешательства пользователя.

По сообщению «Лаборатории Касперского«, червь (в классификации «Лаборатории» — BadtransII) приходит в письме от реального или ложного отправителя. Ложный случайно выбирается из списка — например: «Anna», «JUDY», «Rita Tulliani», «Tina», «Kelly Andersen», «Andy» и другие.

В теле письма ничего не содержится. В поле «Тема» может быть написано «Re:». Имя вложенного файла случайно выбирается из нескольких вариантов: «New_Napster_Site», «Me_nude», «Sorry_about_yesterday» и другие. При этом вложенный файл имеет двойное расширение. Первое расширение может быть представлено одним из трех вариантов: .doc, .zip или mp3. Второе расширение может быть либо .scr, либо .pif.

Сама «Лаборатория» получила червя с таким именем и расширением: Resume.doc.scr.

ССЫЛКИ ПО ТЕМЕ

«Лаборатория Касперского»

MessageLabs

Вирусная Энциклопедия «Лаборатории Касперского» — Описание червя «BadtransII»

‘Badtrans’ worm leaves backdoors, logs data — CNN, 26.11.01

‘Badtrans’ worm picks up speed — CNN, 26.11.01

New Worm Replaces Sircam as No. 1 — Wired News, 26.11.01

МАТЕРИАЛЫ ПО ТЕМЕ

В Сеть выпущен новый червь, способный на DDoS-атаки — 23.11.01


Майский вирус Aliz вызвал эпидемию в ноябре — 22.11.01


Первый DVD-вирус подцепили крутые девчонки — 02.11.01


Антивирус McAfee отбивает память у Outlook Express — 29.10.01


Корейский «бен Ладен» проникает и в ICQ — 25.10.01


Новый троянец грабит пользователей WebMoney — 17.10.01


«Лаборатория Касперского»: активация SirCam отменяется — 16.10.01