Le virus-ver Badtrans

1) par une simple visualisation du message si le destinataire utilise une version non patchée d'Outlook Express 5.01 ou 5.5 (voir sur Arobase.org comment connaître sa version d'OE). Ce moyen d'infection est inopérant pour les autres versions du logiciel, notamment OE6. Badtrans.B exploite une faille d'Outlook Express (liée à l'entête MIME des e-mails) qui permet d'exécuter le fichier joint automatiquement à l'affichage du message.
2) par ouverture du fichier joint au message, mode d'infection plus traditionnel. Notez qu'à l'ouverture du fichier, un message d'erreur apparaît à l'écran : «INSTALL ERROR : File data corrupt: probably due to bad data transamission or bad disk access.». Trop tard : malgré ce message, Badtrans est déjà installé sur le système.

• Il est souvent une réponse à un courrier : son objet commence gééralement par "Re:"
• Il est accompagné d'un fichier joint de 29020 octets, dont le nom est composé aléatoirement à partir d'un nom parmi FUN, HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER, NEWS_DOC, New_Napster_Site, README, IMAGES, PICS, puis d'une extension .DOC., .MP3. ou .ZIP., puis d'une dernière extension .pif ou .scr (visible uniquement si Windows est configuré pour afficher toutes les extensions).
• L'adresse de retour est précédée d'un trait de soulignement (exemple "_arobase@ifrance.com"), ceci afin de gêner les réponses faites pour avertir la personne infectée.