病毒别名:I-Worm.Badtrans.a[AVP],W32.Badtrans.gen@mm[NAV],W32/Badtrans@MM[McAfee],WORM_BADTRANS.A[Trend]
处理时间:2001-04-12
威胁级别:★★★
中文名称:坏透了
病毒类型:蠕虫
影响系统:Win9x / WinNT
病毒行为:
这是一个通过邮件来传播的蠕虫病毒,加壳后大小约13K(展开后在40K左右),同时该病毒还会在用户机器上安装木马程序盗取用户信息(蠕虫出释放另外几个文件完成此功能)。
1.病毒首次运行后,先释放两个病毒文件到%SystemRoot%下: INETD.EXE(蠕虫主体), HKK32.EXE(木马部分,即Win32.Troj.KeylogHooker.21882)。然后木马运行,将自身(HKK32.EXE)复制为%System%KERN32.EXE,并且释放用于记录键盘的HKSDLL.DLL病毒(Win32.Troj.KeylogHooker.f.5632)和CP_23421.NLS(木马用于存储一些其所需内部信息的文件),然后再将%SystemRoot%下的HKK32.EXE删掉。释放出来的木马来获取用户信息,并将其发送到下面的邮箱中:
ld8dl1@mailandnews.com
病毒注册自己到系统启动项,以便该病毒在每次重启 Windows 时运行,具体如下:
在Win9x下:
修改WIN.INI文件中[windows]节的"Run="项如下:
run=C:WINDOWSINETD.EXE
在WinNT下,
在注册表的主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
中添加如下键值:
"kernel32"="kern32.exe"
在注册表的主键:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
中添加如下键值:
"run"="C:WINDOWSINETD.EXE"
此时病毒并不发作,而是显示一个欺骗性的消息框,如下图:
2.待计算机重启后,蠕虫将自己注册为一个服务,潜伏5分钟后才开始发作,使用Windows的MAPI函数,访问收件箱,向未阅读状态的邮件地址发送带毒邮件。
主题:Re: prefix
附件即为蠕虫病毒副本,文件名是下面列表中随机的一个:
Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif
正文:
病毒会在原邮件内容的开头加上:
<原正确的发件人名字> wrote:
欺骗收到病毒邮件的人。
如果邮件是没有正文的,那么病毒会在正文中加上:
Take a look to the attachment.
由于病毒自身bug有可能在发送过程中出错,但即使这样,由于该蠕虫不断的滥发邮件,仍然会造成企业的邮件服务器严重阻塞以至不能工作。