Badtrans est de retour. Connu depuis le mois d’avril sous sa forme “A”, le ver a été de nouveau repéré le 23 novembre sous le nom de Badtrans.B. Le virus se transmet par mail (message vide avec pièce jointe souvent invisible) et se propage en utilisant les couches Mapi (Messaging Application Programming Interface) des clients de messagerie, un protocole qu’il utilise pour générer un mail au format HTML. Badtrans.B insère ensuite, dans ce courrier, un fichier joint infecté de type .doc, .mp3 ou .zip auquel il ajoute une extension .scr ou .pif.Ces deux formats de fichiers lui permettront de s’exécuter sans recourir à l’extension .exe, souvent filtrée par les systèmes de sécurité. Badtrans leurre enfin le client de messagerie lui-même en modifiant la description du mail pour simuler une pièce jointe .wav. Le format est, en effet, automatiquement exécuté lors de l’ouverture d’un mail au format HTML ou, sans même l’ouvrir, si l’option de prévisualisation est activée (sur les postes non patchés suite à Nimda).
Pas de dégâts notables
Une fois installé, Badtrans.B crée un fichier : Kernel32.exe qui corrompt Kernel32.dll, le noyau de Windows. Grâce à cette modification de la base de registres, Badtrans peut alors glaner toutes les informations de kdd.dll, le fichier chargé d’interpréter les interruptions clavier. Badtrans envoie ensuite ces informations de façon transparente à un compte de messagerie, qui serait hébergé par Hotmail.Malgré ces aspects redoutables, Badtrans.B n’a pas causé de dégâts notables. Nombre d’antivirus à jour permettraient en effet de le détecter grâce à la description de sa version précédente.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.