概述
病毒別名:I-Worm.BadtransII【AVP】,W32.Badtrans.b@mm【NAV】,WORM_BADTRANS.B【Trend】,W32/BadTrans@MM【McAfee】,Win32.Badtrans.29020【CA】處理時間:2001-11-24
威脅級別:★★★
中文名稱:壞透了
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為:
這是Worm.Badtrans.a病毒的變種,也是通過郵件傳播的蠕蟲病毒,加殼後大小約29K(展開後在60K左右)。同時它也釋放木馬程式到被感染機器,盜取用戶信息。這個變種在髮帶毒郵件和木馬功能上有所改進,此病毒具有如下特徵:1.病毒運行後,會複製自身到%SystemRoot%和%System%目錄下,命名為kernel32.exe。同時,釋放木馬檔案%System%\Kdll.dll(hook鍵盤等用),創建鍵盤記錄檔案%System%\Cp_25389.nls(記錄在裡面的信息會被病毒加密)。
2.在註冊表的主鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
中添加如下鍵值:
"Kernel32"="kernel32.exe"
以便該病毒在每次重啟 Windows 時運行。
3.病毒會搜尋*.ht*和*.asp檔案中搜尋Email地址,另外還會使用MAPI函式獲取收件箱中的郵件地址(即偽裝成用戶回復的郵件),然後使用SMTP直接向這些地址傳送帶毒郵件。具體格式如下:
發件人:
獲取被感染計算機上可用的SMTP信息作為郵件的From信息,如果沒有則從下列欺騙性地址中隨機選取一個
"Anna"
"JUDY"
"Rita Tulliani"
"Tina"
"Kelly Andersen"
"Andy"
"Linda"
"Mon S"
"Joanna"
"JESSICA BENAVIDES"
"Administrator"
"Admin"
"Support"
"Monika Prado"
"Mary L. Adams"
"Anna"
"JUDY"
"Tina"
發件人前面會加上前綴"_",例如[email protected]主題:
"Re:" 或者為空,對於使用MAPI函式從收件箱中得到的郵件地址可能使用:"Re: <其原來的主題>"。
正文:
沒有文本內容,但是正文採用了HTML格式,利用微軟的IFRAME漏洞,使沒有打補丁的用戶預覽郵件即可自動運行病毒。
附屬檔案:
附屬檔案為病毒副本檔案,其名稱格式為..(雙後綴名),其中每個部分從下面列表中隨機選取
可能為下面之一:
Pics
images
README
New_Napster_Site
news_doc
HAMSTER
YOU_are_FAT!
stuff
SETUP
Card
Me_nude
Sorry_about_yesterday
info
docs
Humor
fun
SEARCHURL
S3MSONG
可能為下面之一:
.doc,.mp3,.zip
可能為:
.pif,.scr
例如病毒附屬檔案名稱可能是:Pics.Doc.pif。
另外,該病毒不會向同一個郵件地址傳送兩次帶毒郵件。病毒將傳送過的Email地址寫入%System%\Protocol.dll檔案,以防止向一個人傳送多封郵件以隱蔽自己。
4.病毒使用計時器每秒檢查一次當前打開的視窗,當發現視窗中的標題前三個字母為下列的一個時LOG,PAS,REM,CON,TER,NET(即logon, password, remote, connection, terminal, network這些用戶會輸入帳號密碼程式檔案開頭的三個字母),木馬就會用戶擊鍵記錄60秒,然後每30秒將記錄檔案和緩衝的密碼就會從下列郵件地址和郵件伺服器中隨機選擇一個傳送:
[email protected]mx2.mail.yahoo.com
[email protected]mx2.mail.yahoo.com
[email protected]mx2.mail.yahoo.com
[email protected]mx2.mail.yahoo.com
[email protected]mx2.mail.yahoo.com
[email protected]mail5.rambler.ru
[email protected]mail.ifrance.com
[email protected]mail.canada.com
[email protected]fs.cpio.com
[email protected]inbound.latemodels.com.criticalpath.net
[email protected]inbound.ballsy.net.criticalpath.net
[email protected]mail.monkeybrains.net
[email protected]mail.ukr.net
[email protected]usa-com.mr.outblaze.com
[email protected]mail-fwd.rapidsite.net
[email protected]mta.excite.com
[email protected]mta.excite.com
[email protected]mta.excite.com
[email protected]mta.excite.com
[email protected]mta.excite.com
[email protected]imap.front.ru
[email protected]smtp.myrealbox.com
除了上述擊鍵記錄,木馬還會將一些其他用戶信息傳送到指定信箱,比如I地址等等。
5.根據某種設定,病毒會在運行後一個特定時間關閉自己,停止運行。
