Bản thân con sâu này là một file chương trình (.exe) của Win32. Nó được phát hiện dưới dạng nén, chỉ khoảng 13 Kb. Khi được giải nén, nó có thể "phổng" lên đến 40 Kb. Con sâu có 3 khoang. Sau khi lọt vào hệ thống, mỗi khoang sẽ hiện diện trong ổ cứng với một tên khác nhau và hoạt động độc lập.
BadTrans tự chiếm cho mình một chỗ trong thư mục gốc của Windows với file name INETD.EXE và thả dù trojan KERN32.EXE thư mục hệ thống, cùng với thư viện bổ sung HKSDLL.DLL. Sau đó, BadTrans đăng ký trong phần auto-run của hệ thống. Trong Win9x, file WIN.INI sẽ xuất hiện: “run=C:\WINDOWS\INETD.EXE".
Trong WinNT/2000, mã đăng ký sẽ được tạo ra: “HKLM\Software\Microsoft\Windows\CurrentVersion\Run". Khi hoàn tất thủ tục “nhập cảnh”, BadTrans thông báo:
Thành phần trojan là biến thể của một loại chương trình chuyên ăn cắp password từng được biết đến. Nó gửi các thông tin ăn trộm được tới ld8@mailandnews.com.
Văn Bình (theo F-Secure, 13/4)