AMSTERDAM - De veel verspreide worm Sircam die onlangs een record aan slachtoffers maakte, is ingehaald door een nieuw W32/Badtrans.B-virus.

Het 'Badtrans.b'-virus is een variant op de 'Badtrans'-worm die in april voor het eerst toesloeg. De '.b'-extensie in de naam staat voor de 'bad data transmission'-boodschap die het bij zijn slachtoffers aflevert.

De worm verspreidt zich via het MAPI, het Messaging Application Programming Interface, een programmatoepassing waarmee direct een bericht (e-mail of fax) kan worden gestuurd vanuit bijvoorbeeld de tekstverwerker.

Het virus is vervelend omdat het in Outlook Express 5.0 wordt geactiveerd zodra het mailtje in het voorbeeldscherm verschijnt. Er hoeft dus geen bijlage geopend te worden om het virus te activeren, alleen wel bij gebruik van Outlook. Een ander virus dat momenteel actief is, het Aliz, en de kortgeleden Nimda-worm werkten op dezelfde wijze.

Het virus-mailtje komt binnen zonder echte onderwerpregel, gewoon 'RE:'.Als de bijlage van het virusmailtje actief wordt, kopieert het zichzelf in het Windows-systeem onder de naam KERNEL32.EXE. Daarnaast verandert het register HKLM\SOFTWARE\Microsoft\- Windows\CurrentVersion\RunOnce waardoor de worm in werking treedt zodra de computer opnieuw opstart.

Ten slotte plaatst het virus het bestand kdll.dll op de computer, een bestand waarachter een Trojaans paard verscholen zit die wachtwoorden probeert te stelen. Een Trojaans paard is een programmaatje dat ontworpen is om een taak uit te voeren waar de gebruiker niet om gevraagd heeft.

Een /LINKSpatch voor het Badtrans.B-virushttp://www.microsoft.com/technet/security/bulletin/MS01-020.asphier een (Engelstalige) uitleg

Kijk voor meer informatie over het virus onder meer bij:SymantecMcAfeeMessage LabsNormanTrend-Microanti-virus.pagina.nl