Het virus, dat een aangepaste versie is van BadTrans.A die in april verscheen, installeert een zogeheten keylogger op een geïnfecteerde computer. Daarmee worden alle toetsaanslagen opgeslagen. Het virus probeert dit bestand vervolgens elke dertig seconden door te mailen. "Omdat het in de achtergrond gebeurt en omdat het steeds maar om een klein bestandje gaat, zullen gebruikers niet snel merken dat ze besmet zijn", aldus André Post, virusbestrijder van het Symantec Antivirus Research Center ( SARC). Hij schat dat inmiddels wereldwijd 'enkele tienduizenden' computers zijn besmet. Volgens de statistieken van MessageLabs is het virus de afgelopen 24 uur bijna 14.000 keer bij zijn klanten onderschept. Dat is meer dan tien keer zoveel als de nummer twee op de lijst, SirCam. "Met name de laatste twee dagen is het aantal besmettingen enorm gestegen", aldus Post. Hij verwacht dat het aantal nieuwe besmettingen met het virus vandaag zijn hoogtepunt zal bereiken. Het virus maakt gebruik van een Microsoft-bug, waardoor een bijvoegsel van een e-mailbericht automatisch wordt geopend. Ook de Aliz-worm en het Nimda-virus maken gebruik van dit gat. Microsoft heeft al maanden geleden een zogeheten patch beschikbaar gesteld waarmee gebruikers het gat kunnen dichten. Volgens Post heeft de Aliz-worm van de Nederlandse virusschrijver Mar00n tot nu toe meer besmettingen veroorzaakt. "Maar daar heeft Aliz langer over gedaan dan BadTrans.B. De social engineering van BadTrans.B steekt wat 'beter' in elkaar." BadTrans.B stuurt zichzelf door naar mensen uit het adresboek van het e-mailprogramma. Daarbij doet het programma zich voor als een reply (het onderwerp luidt: 'Re:'). Daardoor zijn veel gebruikers geneigd om het mailtje (en het meegestuurde attachment) te openen.