Worm.Badtrans.a

Worm.Badtrans.a,電腦蠕蟲病毒的一種,又名壞透了。通過郵件來傳播的蠕蟲病毒。

病毒別名

I-Worm.Badtrans.a【AVP】,W32.Badtrans.gen@mm【NAV】,W32/Badtrans@MM【McAfee】,WORM_BADTRANS.A【Trend】

病毒介紹

處理時間:2001-04-12
威脅級別:★★★
中文名稱:壞透了
病毒類型:蠕蟲
影響系統:Win9x/ WinNT
病毒行為:
這是一個通過郵件來傳播的蠕蟲病毒,加殼後大小約13K(展開後在40K左右),同時該病毒還會在用戶機器上安裝木馬程式盜取用戶信息(蠕蟲出釋放另外幾個檔案完成此功能)。
1.病毒首次運行後,先釋放兩個病毒檔案到%SystemRoot%下: INETD.EXE(蠕蟲主體), HKK32.EXE(木馬部分,即Win32.Troj.KeylogHooker.21882)。然後木馬運行,將自身(HKK32.EXE)複製為%System%\KERN32.EXE,並且釋放用於記錄鍵盤的HKSDLL.DLL病毒(Win32.Troj.KeylogHooker.f.5632)和CP_23421.NLS(木馬用於存儲一些其所需內部信息的檔案),然後再將%SystemRoot%下的HKK32.EXE刪掉。釋放出來的木馬來獲取用戶信息,並將其傳送到下面的信箱中:
[email protected]病毒註冊自己到系統啟動項,以便該病毒在每次重啟 Windows 時運行,具體如下:
在Win9x下:
修改WIN.INI檔案中【windows】節的"Run="項如下:
run=C:\WINDOWS\INETD.EXE
在WinNT下,
在註冊表的主鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
中添加如下鍵值:
"kernel32"="kern32.exe"
在註冊表的主鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
中添加如下鍵值:
"run"="C:\WINDOWS\INETD.EXE"
此時病毒並不發作,而是顯示一個欺騙性的訊息框,如下圖:
【img】..\troj_badtrans_a.gif【/img】
2.待計算機重啟後,蠕蟲將自己註冊為一個服務,潛伏5分鐘後才開始發作,使用Windows的MAPI函式,訪問收件箱,向未閱讀狀態的郵件地址傳送帶毒郵件。
主題:Re: prefix
附屬檔案即為蠕蟲病毒副本,檔案名稱是下面列表中隨機的一個:
Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif
正文:
病毒會在原郵件內容的開頭加上:
<原正確的發件人名字> wrote:
欺騙收到病毒郵件的人。
如果郵件是沒有正文的,那么病毒會在正文中加上:
Take a look to the attachment.
由於病毒自身bug有可能在傳送過程中出錯,但即使這樣,由於該蠕蟲不斷的濫發郵件,仍然會造成企業的郵件伺服器嚴重阻塞以至不能工作。

相關詞條

相關搜尋

熱門詞條

聯絡我們