Badtrans.b病毒也是一种通过邮件传播的蠕虫病毒，同时它也是一种特洛伊木马程序，会对您的计算机安全造成威胁。此病毒具有如下特征：

　　1.伪装成回复的邮件。

　　2.会生成一个DLL文件

　　3.它会记录windows所有的击键记录。

　　4.它会将这些记录（包括您键入的Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码等信息）通过邮件发送到它自带的地址之一。

　　5.将受感染者的IP通过邮件发送给作者。

　　6.在特定时间停止运行。

　　7.使用kernel32作为自己的别名。

　　8.将自己复制到windows的system目录中（win9xMe为 windowssystem，winnt2000中为winntsystem32）。

　　当该病毒第一次执行时，它会将自己复制到windowssystem目录下面并改名为kernel32.exe，在win9xme下还会将自己注册为服务进程。并且创建一个记录密码等信息的DLL文件Kdll.dll。

　　使用计时器每秒检查一次当前打开的窗口，当发现窗口中的标题前三个字母为下列的一个时

　　LOG

　　PAS

　　REM

　　CON

　　TER

　　NET

　　（这些字母时单词LOGon, PASsword, REMote, CONnection, TERminal, NETwork的开头的三个字母），记录击键的程序就会记录60秒，然后每30秒这些记录和缓冲的密码就会被发送到下列地址之一：

　　ZVDOHYIK@yahoo.com

　　udtzqccc@yahoo.com

　　DTCELACB@yahoo.com

　　I1MCH2TH@yahoo.com

　　WPADJQ12@yahoo.com

　　fjshd@rambler.ru

　　smr@eurosport.com

　　bgnd2@canada.com

　　muwripa@fairesuivre.com

　　rmxqpey@latemodels.com

　　eccles@ballsy.net

　　suck_my_prick@ijustgotfired.com

　　suck_my_prick4@ukr.net

　　thisisno_fucking_good@usa.com

　　S_Mentis@mail-x-change.com

　　YJPFJTGZ@excite.com

　　JGQZCD@excite.com

　　XHZJ3@excite.com

　　OZUNYLRL@excite.com

　　tsnlqd@excite.com

　　cxkawog@krovatka.net

　　ssdn@myrealbox.com

　　再经过20秒，如果设置了适当的控制位病毒会自动关闭。如果该计算机支持RAS加密的，病毒会等待一个RAS加密的网络连接。当这种连接建立之后，有33％的几率，该病毒会在个人文件夹和IE的缓冲的*.ht* 和 *.asp文件中搜索email地址，找到之后它就会向这些地址发送邮件附件的名字为下列之一：

　　Pics

　　images

　　README

　　New_Napster_Site

　　news_doc

　　HAMSTER

　　YOU_are_FAT!

　　stuff

　　SETUP

　　Card

　　Me_nude

　　Sorry_about_yesterday

　　[iduba_page]　　info

　　docs

　　Humor

　　fun

　　该病毒还会使MAPI找到未阅读的邮件来回复，邮件的主题就会是“Re：”附件的名称会为下列之一：

　　PICS

　　IMAGES

　　README

　　New_Napster_Site

　　NEWS_DOC

　　HAMSTER

　　YOU_ARE_FAT!

　　SEARCHURL

　　SETUP

　　CARD

　　ME_NUDE

　　Sorry_about_yesterday

　　S3MSONG

　　DOCS

　　HUMOR

　　FUN

　　所有情况下，该病毒都会有两个扩展名，第一部分为下列之一：

　　.doc

　　.mp3

　　.zip

　　第二部分为：

　　.pif

　　.scr

　　例如：病毒的附件名可能为CARD.Doc.pif。

　　该病毒会使用被感染的计算机上可用的SMTP信息作为邮件的From信息，如果没有将会使用下列之一：

　　"Mary L. Adams" <mary@c-com.net>

　　"Monika Prado" <monika@telia.com>

　　"Support" <support@cyberramp.net>

　　" Admin" <admin@gte.net>

　　" Administrator" <administrator@border.net>

　　"JESSICA BENAVIDES" <jessica@aol.com>

　　"Joanna" <joanna@mail.utexas.edu>

　　"Mon S" <spiderroll@hotmail.com>

　　"Linda" <lgonzal@hotmail.com>

　　" Andy" <andy@hweb-media.com>

　　"Kelly Andersen" <Gravity49@aol.com>

　　"Tina" <tina0828@yahoo.com>

　　"Rita Tulliani" <powerpuff@videotron.ca>

　　"JUDY" <JUJUB271@AOL.COM>

　　" Anna" <aizzo@home.com>

　　邮件使用了MicroSoft Outlook的一个自动运行MIME邮件附件的功能。关于这个漏洞详细情况请参见：

　　www.microsoft.com/technet/security/bulletin/MS01-020.asp

　　另外该病毒还将发送过的email地址写入windowssystem下面的Protocol.dll文件以防止向一个人发送多封邮件。然后将Kernel32　kernel32.exe加到注册表HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce中，使自己能在下次windows启动时运行。