Verbreitungsgeschwindigkeit übertrifft selbst 'SirCam' und 'I-Love-You'.

Kaspersky Lab, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt vor dem Internet-Wurm 'BadtransII'. Hierbei handelt es sich um eine Modifikation des im April diesen Jahres erschienenen Schädlings 'Badtrans'.

In den ersten 24 Stunden hat die Verbreitungsgeschwindigkeit von 'BadtransII' die entsprechenden Kennwerte der bekannten Malware 'SirCam', 'Melissa' und 'I-love-you' um eine Vielfaches überstiegen. Das ergaben die Forschungsergebnisse der britischen MessageLabs, die sich mit der Herstellung von eMail-Schutzmaßnahmen beschäftigen.

'BadtransII' nutzt dieselbe Lücke im Mail-Clients Schutz, die auch die Viren 'Nimda' und 'Aliz' gebrauchen. Das Schlupfloch in MS Outlook hat zu Folge, dass die der Mail angehängte Datei gestartet wird, ohne dass der User dies bemerkt.

Der Wurm tarnt sich als eMail, deren Betreff entweder leer oder 'Re:' sein kann. Der Mail-Body ist ebenfalls ohne Text. Der Name des Anhangs wird aus einigen Varianten zufällig ausgewählt.

Einige Beispiele der Anhangs-Bezeichnungen sind: 'Pics', 'PICS', 'images', 'IMAGES', 'README', 'New_Napster_Site' ,'news_doc', 'NEWS_DOC', 'HAMSTER', 'YOU_are_FAT!', 'YOU_ARE_FAT!', 'stuff', 'SETUP' ,'Card', 'CARD', 'Me_nude', 'ME_NUDE', 'Sorry_about_yesterday', 'info', 'docs', 'DOCS', 'Humor', 'HUMOR', 'fun', 'FUN', 'SEARCHURL', 'S3MSONG'.

Die Datei selbst kann mehrere Endungen besitzen, beispielsweise DOC, ZIP, MP3, sowie SCR, PIF, oder 'info.DOC.scr'.

Die verseuchte Datei kann sowohl von einer echten, falls die Mail von einem infizierten Rechner versandt wird, als auch einer falschen eMail-Adresse, die willkürlich aus der folgenden Liste ausgewählt wird, verschickt werden:
Anna, JUDY, Rita Tulliani, Tina, Kelly Andersen, Andy, Linda, Mon S, Joanna, JESSICA BENAVIDES, Administrator, Admin, Support, Monika Prado, Mary L. Adams, Tina.

Beim Starten der angehängten Datei versucht der Virus alle ungelesenen Meldungen im MS Outlook-Client zu beantworten. Außerdem schickt er die IP-Adresse des verseuchten Computers an uckyjw@hotmail.com. Dann kopiert er sich in die System-Registry und ermöglicht einen unautorisierten Zugriff auf den verseuchten Computer von Außerhalb.

Kaspersky Lab empfiehlt die Antiviren-Datenbank des Kaspersky™ Anti-Virus sofort zu aktualisieren. Notwendige Neutralisierungsmaßnahmen sind bereits hinzugefügt worden.