Email-Worm.Win32.Badtrans.a

病毒名称：Email-Worm.Win32.Badtrans.a

病毒类型：邮件蠕虫

危害等级：中

文件长度：13,312 字节

文件MD5：39C85A0D847AA21C7DEDD69DCA7AE9BC

公开范围：完全公开

感染系统：Win9x以上所有版本

开发工具：VC 5.0

加壳类型：UPX

病毒描述：

该病毒一旦执行，常驻内存的蠕虫就会显示一个错误的对话框，它还将拷贝自身存放在Windows目录下，名为INETD.EXE。在WINDOWS SYSTEM目录下创建文件KERN32.EXE和 HKSDLL.DLL，修改注册表信息以便在系统再次启动时装载特洛伊木马。一旦运行，特洛伊木马尝试将被感染者的IP地址发送给病毒的作者，病毒作者获得此信息后，就可以通过Internet连接到被感染的系统，并窃取被害者的个人信息，如用户名和密码。另外，特洛伊木马还会窃取一些其它的重要信息，如信用卡和银行的账号和密码。再次启动Windows后，蠕虫尝试回复Microsoft Outlook文件夹中的未打开邮件，并将其自身作为附件。

行为分析：

修改注册表

1、添加启动项键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

加键：kern32

键值：" kern32.exe"

2、蠕虫将自身复制至系统目录和Windows根目录，以下列名字命名：

%System% hksdll.dll ------------为木马文件

%System% kern32.exe------------为木马文件

%Windir% inetd.exe

3、邮件包含以下内容：

Take a look to the attachment.

附件的名称是以下之一：

Pics.ZIP.scr

images.pif

README.TXT.pif

New_Napster_Site.DOC.scr

news_doc.scr

hamster.ZIP.scrnews_doc.scr

YOU_are_FAT!.TXT.pif

searchURL.scr

SETUP.pif

Card.pif

Me_nude.AVI.pifCard.pif

Sorry_about_yesterday.DOC.pif

s3msong.MP3.pifSorry_about_yesterday.DOC.pif

docs.scr

Humor.TXT.pif

fun.pifHumor.TXT.pif

--------------------------------------------------------------------------------

清除方案 ：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%System% hksdll.dll ------------为木马文件

%System% kern32.exe------------为木马文件

%Windir% inetd.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunOnce

加键：kern32

键值：" kern32.exe"