Pas på ! - jeg er blevet tilsendt denne virus og der kan i en meget kort periode have været chace for at den har videresendt sigselv, så hermed opfordrer jeg til at i installerer en virus-scanner
Watch out !
My computer has been infected with a virus and maby it has sendt itself to you, so i strongly recommend that you install a virus scanner...
Nedenfor ses en definition af virussen:
Danish definition of the virus:
Virus-alarm fra Norman
En ny virus spreder sig i øjeblikket via e-mail. Den minder om Nimda og Aliz-ormene og kaldes W32/Badtrans.B@mm. Det eneste som skal til for at aktivere ormen er, at man åbner e-mailen eller får den vist på forhånd i Outlook eller Outlook Express.
W32/Badtrans.B@mm er en variation af Badtrans A, men i en opdateret version. Antivirus-selskabet Norman betegner ormen som af ”High Risk. Når ormen aktiveres kopierer den sig selv til Windows system directory under betegnelsen KERNEL32.EXE, hvilket ikke skal forveksles med Windows hovedbibliotek, KERNEL32.DLL.
Ormen benytter et specielt trick for at åbne den vedhæftede fil og starte smitten, hvilket indebærer, at det er tilstrækkeligt at åbne mailen eller få den forhåndsvist i Outlook/Outlook Express for at den aktiveres. Det sker ved at benytte et sikkerhedshul kendt som "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment". Informationer om dette sikkerhedshul og sikkerhedsopdateringer findes hos Microsoft .
Sikkerhedshullet er kendt fra Internet Explorer 5.01 og 5.5 og brugere af disse versioner bør enten downloade den anbefalede patch eller deaktivere Active Scripting. Det gøres ved at vælge ” Funktioner” og ”Internetindstillinger”. Derefter vælges fanebladet ”Sikkerhed” og ” Brugerdefineret niveau”, hvorefter man scroller ned til "Active scripting" og "Scripting af Java applets", som man deaktiverer.
Ormen benytter Microsoft Mail API og den vedhæftede fil har dobbelt filtype betegnelse. Det første er enten DOC, MP3 eller ZIP og det næste er enten PIF eller SCR. Den vedhæftede fil kan indeholde følgende betegnelser: