Ny computerorm spreder sig hastigt

Opdateret 12.35
I disse dage udnytter computerormen BadTrans.B gammelkendte sikkerhedshuller i Microsofprodukter. Der er således brugere, som ikke har opdateret Outlook med de nyeste sikkerhedspatches og på lignende måde har undladt at opdatere Windows, der er i farezonen.
BadTrans.B forsøger at opsnappe brugernavne og passwords på inficerede pc'er for derefter at forsøge at sende disse via email til en adresse, som angiveligt tilhører opfinderen af ormen.

Den nye orm anvender nogle af de samme sikkerhedshuller, som den tidligere Nimda-orm. Ormen kan sprede sig via emails uden at brugeren klikker for at åbne attachments til emailen.

Ormen kan finde email-adresser til at sprede sig videre ved at analysere indholdet af Outlooks adressebog, mappen "My Documents" og de cachede sider i Internet Explorer.

Inficerede emails vil enten have navnet "RE:" eller bære navnet på en tilsendt email med "RE" tilføjet forrest. Navnet på det inficerende attachment bliver genereret vilkårligt.

Opdateret: Når et inficeret attachment åbnes, vil brugeren få en dialogbox frem, som melder om "Install Error" og viser følgende tekst: "File data corrupt: probably due to a bad data transmission or bad disk access".

Derefter kopierer ormen sig selv som INETD.EXE i Windoes installationsmappe, installerer en bagdør i KERN32".EXE, Kernel32.exe eller Kernel.exe. Den installerer en logning af lokale tastetryk via systemfilerne "HKSDLL.DLL" eller "KDLL.DLL" og sørger for, at indskrive referencer til disse filer i Win.ini og Windows Registry, så de kan eksekveres automatisk ved genstart af maskinen.