Badtrans.b
Badtrans.b
病毒名称:BadTrans.B
别名: W95/Badtrans.B@mm,W32/Badtrans-B, W32/Badtrans@mm,BadtransII, W32.Badtrans.B@mm, I-Worm.BadtransII,W32/BadTrans.B-mm
病毒特点:
Badtrans.b是一个电子邮件蠕虫病毒,该病毒为前一阶段出现的病毒Badtrans的变种。
该病毒在Win32系统下传染,病毒仍利用Outlook Express的漏洞,发送带有染毒附件的邮件,当用户在预览带有病毒附件的邮件时,附件就会自动执行,从而使用户受到该病毒的感染。病毒体包含两个部分——蠕虫和木马,蠕虫部分用于发送染毒信息,木马用于发送从染毒系统上窃取的用户信息,它将被感染机器的RAS数据、用户密码、键盘日志等发送到指定的邮件地址。一旦遭受病毒感染,病毒首先将自身释放到windows的system目录下,命名为Kernel32.exe,并修改注册表:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
RunOnce
Kernel32=Kernel32.exe
并生成一个动态链接库文件:KDLL.DLL,并将窃取的信息发送到hotmail的一个邮件地址,这些日志信息被存储在windows的system目录下的cp_25389.nls中。病毒在完成以上安装后将原始的感染文件删除。
邮件形式如下:
发件人:(原始发送者或从以下地址中随机选取的假地址)
"Anna" <aizzo@home.com>
"JUDY" <JUJUB271@AOL.COM>
"Rita Tulliani" <powerpuff@videotron.ca>
"Tina" <tina0828@yahoo.com>
"Kelly Andersen" <Gravity49@aol.com>
"Andy" <andy@hweb-media.com>
"Linda" <lgonzal@hotmail.com>
"Mon S" <spiderroll@hotmail.com>
"Joanna" <joanna@mail.utexas.edu>
"JESSICA BENAVIDES" <jessica@aol.com>
"Administrator" <administrator@border.net>
"Admin" <admin@gte.net>
"Support" <support@cyberramp.net>
"Monika Prado" <monika@telia.com>
"Mary L.Adams" <mary@c-com.net>
"Anna" <lindaizzo@home.com>
"JUDY" <JUJUB@AOL.COM>
"Tina" tina08@yahoo.com
主题:(主题为空或收件箱中原始邮件主题的回复形式)
邮件主体:(主体为空)
附件:(附件名称为以下名称和扩展名中随机选取的总和,即:“文件名” +“扩展名1”+“扩展名2”)
文件名为:
Pics(或PICS )
Card(或CARD)
images(或IMAGES)
Me_nude(或ME_NUDE)
README
Sorry_about_yesterday
New_Napster_Site
info
news_doc(或NEWS_DOC)
docs(或DOCS)
HAMSTER
Humor(或HUMOR)
YOU_are_FAT!(或YOU_ARE_FAT!)
fun(或FUN)
stuff
SEARCHURL
SETUP
S3MSONG
扩展名1为DOC、ZIP或MP3
扩展名2为scr或pif
该病毒采用两种不同的方式收集邮件地址,并直接连接到SMTP服务器上发送染毒邮件。其一是蠕虫将扫描*.HT*和*.ASP文件,并从中提取出邮件地址,另一种方法是从收件箱中读取邮件并从中获得邮件地址。
蠕虫对同一邮件地址仅感染一次,病毒将所有感染过的邮件地址保存在C:WindowsSystem目录下的PROTOCOL.DLL中,并在每次发送信息前检查该文件。
预防该病毒在浏览带毒附件的邮件时自动执行的特点,请下载微软的补丁程序。地址是:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp