I-Worm.Badtrans
病毒名称:I-Worm.Badtrans
别名:BADTRANS.A, W32.Badtrans.13312@mm,Backdoor-NK.svr,BadTrans,,TROJ_BADTRANS.A,W32/Badtrans@MM
病毒特点:
该病毒一旦执行,常驻内存的蠕虫就会显示一个如下对话框,
它还将拷贝自身存放在Windows目录下,名为INETD.EXE,并登录WIN.INI文件以便在下次启动时运行INETD.EXE,在WINDOWS SYSTEM目录下创建文件KERN32.EXE和 HKSDLL.DLL,修改注册表信息以便在系统再次启动时装载特洛伊木马。
一旦运行,特洛伊木马尝试将被感染者的IP地址发送给病毒的作者,病毒作者获得此信息后,就可以通过Internet连接到被感染的系统,并窃取被害者的个人信息,如用户名和密码。另外,特洛伊木马还会窃取一些其它的重要信息,如信用卡和银行的账号和密码。
再次启动Windows后,蠕虫尝试回复Microsoft Outlook文件夹中的未打开邮件,并将其自身作为附件,
邮件包含以下内容:
Take a look to the attachment.
附件的名称是以下之一:
Card.pif
docs.scr
fun.pif
hamster.ZIP.scr
Humor.TXT.pif
images.pif
New_Napster_Site.DOC.scr
news_doc.scr
Me_nude.AVI.pif
Pics.ZIP.scr
README.TXT.pif
s3msong.MP3.pif
searchURL.scr
SETUP.pif
Sorry_about_yesterday.DOC.pif
YOU_are_FAT!.TXT.pif