Badtrans.B es un gusano residente en memoria que se propaga vía correo electrónico. Se recibe en un mensaje que tiene las siguientes características:

Remitente: puede ser el original o uno de la siguiente lista:

"Anna"
"JUDY"
"Rita Tulliani"
"Tina"
"Kelly Andersen"
"Andy"
"Linda"
"Mon S"
"Joanna"
"JESSICA BENAVIDES"
"Administrator"
"Admin"
"Support"
"Monika Prado"
"Mary L. Adams"
"Anna"
"JUDY"
"Tina"

Asunto: vacío o "Re:"

Texto del mensaje: vacío.

Adjunto: compuesto por alguno de los siguientes nombres más dos extensiones (la primera de ellas ficticia para engañar al usuario):

FUN
HUMOR
DOCS
INFO
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
STUFF
SEARCHURL
YOU_ARE_FAT!
HAMSTER
NEWS_DOC
New_Napster_Site
README
IMAGES
PICS

Las extensiones ficticias que presenta el archivo adjunto puede ser alguna de estas tres: .DOC, .MP3 y .ZIP. Las verdaderas extensiones del archivo son "sif" o "scr".

Cuando el usuario recibe el e-mail infectado, el gusano se copia a si mismo en el directorio System de Windows con el nombre de KERNEL32.EXE creando al mismo tiempo otros dos archivos CP_25389.NLS (recoge datos encriptados del virus) y KDLL.DLL (un troyano que roba contraseñas). Además, Badtrans.B procede a borrarse del directorio desde el que se ejecutó la primera vez.

Luego pasa a registrarse como un servicio lo que le permite permanecer oculto en memoria sin aparecer en la lista de tareas que se están desarrollando. El gusano también modifica el registro de Windows para ejecutarse de manera automática cada vez que se reinicie el PC infectado:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
kernel32 = "kernel32.exe"

Para finalizar, Badtrans.B crea la clave "RunOnce" cada vez que Windows la borra tras ejecutar su contenido.

El troyano que transporta Badtrans.B (de nombre PSV.Hooker, PWS.A o NK.svr, según distintos anti-virus) se encarga de almacenar todo lo que el usuario del equipo teclea, esto le permite hacerse con claves, nombres de usuarios, números de tarjetas de crédito...