«Badtrans» может парализовать каналы передачи данных

«Лаборатория Касперского» предупреждает пользователей об обнаружении в «диком виде» нового Интернет-червя «Badtrans», особенности распространения которого могут поставить под угрозу нормальное функционирование почтовых серверов. «Лаборатория Касперского» уже получила несколько сообщений о фактах обнаружения вируса в «диком» виде.

Данный червь представляет собой исполняемый файл формата PE EXE длиной около 13 Кб (в сжатом виде). Он заражает компьютеры под управлением Windows 95/98/ME/NT/2000.

«Badtrans» имеет многокомпонентную структуру и состоит из трех взаимосвязанных частей: «дроппера», обеспечивающего внедрение в систему, червя для распространения по электронной почте, и троянской компоненты, которая позволяет удаленному пользователю похищать с зараженных компьютеров конфиденциальную информацию.

Червь доставляется на компьютер жертвы в виде сообщения электронной почты, имеющего строку «Take a look to the attachment» в теле письма и вложенный файл, имя которого случайным образом выбирается из встроенного в тело червя списка.

Помимо организации утечки конфиденциальной информации, червь, при определенных условиях, может вызвать другой побочный эффект, результатом которого является существенное увеличение почтового трафика между зараженными машинами и, в некоторых случаях, даже «падение» почтовых серверов.
В принципе, червь применяет специальные действия, чтобы не отвечать на одно и то же письмо дважды и чтобы не отвечать на собственные письма. Для этого он записывает в конец поля «Тема» два пробела (маркер, по которому червь опознает свои письма).

Однако, это не всегда срабатывает. Большинство почтовых серверов удаляют пробелы в конце поля «Тема» и, таким образом, червь не в состоянии опознать собственные письма и, естественно, отвечает на них. В результате пара зараженных компьютеров начинают постоянно обмениваться зараженными письмами, что может парализовать почтовые сервера и «забить» Интернет-каналы.

Более того, в некоторых случаях, в зависимости от установленного почтового клиента, два пробела (маркер) не записывается в конец поля «Тема». В результате, червь в бесконечном цикле начинает отвечать на все письма, и число отосланных и принятых писем на одном компьютере достигает нескольких тысяч всего за одну минуту.

Процедуры обнаружения и удаления Интернет-червя «Badtrans» уже добавлены в ежедневное обновление антивирусной базы Антивируса Касперского^TM.

Более подробное описание данного червя см. здесь здесь.