Nova virusna infekcija mogla bi da pomuti "slavu" SirCam-a, koji je "harao" Mrežom proteklih meseci. Reč je o virusu Badtrans.b, kombinaciji crva i trojanca, novoj verziji (zato i postoji ono "b" u nazivu) već poznatog zloćudnog programa. I ovoga puta kreator(i) koriste poznati propust u Microsoft Outlook-u i Outlook Express-u, šaljući crva-trojanca kao attachment poruke koji se automatski aktivira.
Da biste izbegli automatsko otvaranje i infekciju (ne samo ovim već i drugim virusima koji koriste ili će koristiti ovu "rupu"), treba skinuti "zakrpu" i učiniti bezbednim svoj email-klijent: možete je pronaći ovde. Treba izabrati zakrpu u odnosu na verziju Internet Explorer-a koju koristite, pri čemu su korisnici najnovije verzije (6.0) bezbedni.
Vratimo se novoj "štetočini". Badtrans.b se širi putem e-mail poruka koje ne sadrže nikakav tekst, pri čemu subject može da bude prazan, ili sadrži tekst "Re:", ili tekst "Re:" + subject poruke koju ste vi poslali. Ova poslednja varijanta jeste lukavo rešenje: na zaraženom kompjuteru Badtrans.b pronalazi poruke u inbox-u na koje nije odgovoreno, i "odgovara" na njih. Na taj način, korisnik dobija poruku od poznate osobe sa kojom je kontaktirao, a u subject-u prepoznaje odgovor na poslatu poruku.
Atachment koji stiže je oko 29 Kb težak, a njegovo ime se sastoji iz tri dela, pri čemu su sva tri slučajno izabrana, tvoreći veliki broj mogućih kombinacija. Prvi može da bude: fun, Humor, docs, info, Sorry_about_yesterday, Me_nude, Card, SETUP, stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, images ili Pics. Drugi se bira iz grupe: .doc., .mp3. i .zip. Treći, poslednji deo imena, može da bude pif ili scr.
Kada se attachment otvori (bilo voljno ili automatski), pojavljuje se poruka pod naslovom "Install error", u kojoj se nalazi tekst: "File data corrupt: probably due to a bad data transmission or bad disk access." Attachment se kopira u Windows direktorijum kao INETD.EXE i menja se WIN.INI fajl, tako da se INETD.EXE automatski startuje sa podizanjem Windows-a (startup). U Windows System direktorijum kopiraju se fajlovi: KERN32.EXE (trojanac) i KDLL.DLL (.dll fajl koji omogućuje špijuniranje onoga što se kuca na tastaturi zaraženog kompjutera). Takođe, vrše se promene i u Registry bazi, kako bi se trojanac automatski startovao sa podizanjem sistema. Nova vrednost je:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\kernel32=kern32.exe
Pošto su izvršene sve ove promene, trojanac šalje IP adresu žrtve autoru, posle čega on može da se poveže i ukrade informacije poput korisničkih imena i lozinki. Trojanac može da sadrži i program za "nadzor" tastature, pomoću koga mogu da se otkriju osetljive informacije poput broja kreditne kartice ili računa u banci. Badtrans.b je spoj trojanca i crva: pored već opisanih "trojanskih" osobina, svoje kopije šalje na sve adrese koje pronađe na hard-disku zaraženog računara. Poruka koja se šalje može da otkriva pošiljaoca koji zaista postoji, ali u pitanju može da bude i jedna od sledećih izmišljenih adresa: " Anna", "JUDY", "Rita Tulliani", "Tina", "Kelly Andersen", " Andy", "Linda", "Mon S", "Joanna", "JESSICA BENAVIDES", " Administrator", " Admin", "Support", "Monika Prado", "Mary L. Adams", " Anna", "JUDY", "Tina".
Ako je do zaraze došlo, kako se izlečiti? Upotrebom antivirusnog programa sa najnovijim potpisima virusa, ili pomoću programa isključivo namenjenih brisanju Badtrans-a. Možete ih skinuti besplatno sa stranica:
Bitdefender - Free removal Tools BadTrans.B Removal Utility
Posle brisanja virusa treba promeniti lozinke, kako ne bi došlo do krađe Internet sati, ili zloupotrebe drugih naloga.