Worm.Badtrans.b是一種蠕蟲病毒,它是Worm.Badtrans.a病毒的變種,也是通過郵件傳播的蠕蟲病毒,加殼後大小約29K,釋放木馬程式到被感染機器,盜取用戶信息。.病毒運行後,會複製自身到%SystemRoot%和%System%目錄下,命名為kernel32.exe。同時,釋放木馬檔案%System%\Kdll.dll(hook鍵盤等用),創建鍵盤記錄檔案%System%\Cp_25389.nls(記錄在裡面的信息會被病毒加密)。病毒會搜尋*.ht*和*.asp檔案中搜尋Email地址,另外還會使用MAPI函式獲取收件箱中的郵件地址(即偽裝成用戶回復的郵件),然後使用SMTP直接向這些地址傳送帶毒郵件
基本介紹
- 中文名:壞透了
- 外文名:Worm.Badtrans.b
- 處理時間:2001-11-24
- 威脅級別:★★★
- 病毒類型:蠕蟲
Worm.Badtrans.b,簡介,病毒行為,相關介紹,
Worm.Badtrans.b
簡介
病毒別名:I-Worm.BadtransII[AVP],W32.Badtrans.B@mm[NAV],WORM_BADTRANS.B[Trend],W32/BadTrans@MM[McAfee],Win32.Badtrans.29020[CA]
影響系統:Win9x / WinNT
病毒行為
這是這個變種在髮帶毒郵件和木馬功能上有所改進,此病毒具有如下特徵:
1 2.在註冊表的主鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
中添加如下鍵值:
"Kernel32"="kernel32.exe"
以便該病毒在每次重啟 Windows 時運行。
3.具體格式如下:
發件人:
獲取被感染計算機上可用的SMTP信息作為郵件的From信息,如果沒有則從下列欺騙性地址中隨機選取一個
"Anna"
"JUDY"
"Rita Tulliani"
"Tina"
"Kelly Andersen"
"Andy"
"Linda"
"Mon S"
"Joanna"
"JESSICA BENAVIDES"
"Administrator"
"Admin"
"Support"
"Monika Prado"
"Mary L. Adams"
"Anna"
"JUDY"
"Tina"
發件人前面會加上前綴"_",例如 主題:
"Re:" 或者為空,對於使用MAPI函式從收件箱中得到的郵件地址可能使用:"Re: <其原來的主題>"。
正文:
沒有文本內容,但是正文採用了HTML格式,利用微軟的IFRAME漏洞,使沒有打補丁的用戶預覽郵件即可自動運行病毒。
附屬檔案:
附屬檔案為病毒副本檔案,其名稱格式為..(雙後綴名),其中每個部分從下面列表中隨機選取
可能為下面之一:
Pics
images
README
New_Napster_Site
news_doc
HAMSTER
YOU_are_FAT!
stuff
SETUP
Card
Me_nude
Sorry_about_yesterday
info
docs
Humor
fun
SEARCHURL
S3MSONG
可能為下面之一:
.doc,.mp3,.zip
可能為:
.pif,.scr
例如病毒附屬檔案名稱可能是:Pics.Doc.pif。
另外,該病毒不會向同一個郵件地址傳送兩次帶毒郵件。病毒將傳送過的Email地址寫入%System%\Protocol.dll檔案,以防止向一個人傳送多封郵件以隱蔽自己。
4.病毒使用計時器每秒檢查一次當前打開的視窗,當發現視窗中的標題前三個字母為下列的一個時LOG,PAS,REM,CON,TER,NET(即logon, password, remote, connection, terminal, network這些用戶會輸入帳號密碼程式檔案開頭的三個字母),木馬就會用戶擊鍵記錄60秒,然後每30秒將記錄檔案和緩衝的密碼就會從下列郵件地址和郵件伺服器中隨機選擇一個傳送:
除了上述擊鍵記錄,木馬還會將一些其他用戶信息傳送到指定信箱,比如I地址等等。
5.根據某種設定,病毒會在運行後一個特定時間關閉自己,停止運行。
相關介紹
從2001年11月23日開始“W32/Badtrans.B”蠕蟲以英國為中心正在擴大感染範圍,這一勢頭目前還沒有收斂的跡象。
