Остерегайтесь Интернет-червя BadTransII!

Win32, 29K (сжат при помощи UPX, размер в несжатом виде — около 70K).

Устанавливается в систему в регистре «Пуск». Инсталлируется подобно трояну PSW.Hooker:

Имя инсталлированного файла трояна, целевая директория и ключ регистра опциональны. Они хранятся в зашифрованном виде в файле трояна, записанными в конце него.
Злоумышленник может изменять их прежде, чем отправить на компьютер-жертву или перед тем, как поместить их на веб-странице.

Данный червь (он был найден «в диком виде»):
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceKernel32 = kernel32.exe

проникает в файл kdll.dll (перехватчик клавиатуры) и
пересылает украденную информацию на адрес uckyjw@hotmail.com
MAPI — получает почту,
SMTP — отправляет почту,
в сообщении содержится та же самая брешь IFRAME,
перехватывает загрузчик ключа и, похоже, само сообщение также является бэкдором.

Сообщение выглядит следующим образом:

От: адрес реального отправителя или ложный, случайно выбираемый из списка:
«Anna»
«JUDY»
«Rita Tulliani» «Tina»
«Kelly Andersen»
«Andy»
«Linda»
«Mon S»
«Joanna»
«JESSICA BENAVIDES»
«Administrator»
«Admin»
«Support»
«Monika Prado»
«Mary L. Adams»
«Anna» «JUDY»
«Tina»

Тема: пусто или «Re:»
Тело письма: пусто
Вложенный файл: случайно выбранное имя файла +ext1+ext2

Имя файла:
ext1: .DOC .ZIP .MP3
ext2: .scr, .pif

«Pics» или «PICS»
«images» или «IMAGES»
«README»
«New_Napster_Site»
«news_doc» или «NEWS_DOC»
«HAMSTER»
«YOU_are_FAT!» или «YOU_ARE_FAT!»
«stuff»
«SETUP»
«Card» or «CARD»
«Me_nude» or «ME_NUDE»
«Sorry_about_yesterday»
«info»
«docs» или «DOCS»
«Humor» или «HUMOR»
«fun» или «FUN»
«SEARCHURL»
«S3MSONG»

Например, «info.DOC.scr»

Возможно, существуют разные варианты, нами был получер экземпляр с именем RESUME.DOC.scr