病毒名称:
Worm.BadtransII
类别: 蠕虫病毒
病毒资料:
感染:
释放自身和KDLL.dll到系统目录下,并修改注册表Runonce项。
发作:
1.通过Kernel32.exe文件传播,启动时会先将同名的进程终止(如果有的话)。
2.利用MAPI提取邮件地址、或在“我的文档”中搜索*.ht*和*.ASP,并将其中包含的电子邮件地址提出,然后把蠕虫发送给这些用户。
3.截获键盘(使用KDLL.dll)。用户键入的口令等会被加密后记录到cp_25389.nls文件内,并且在用户建立连接后发送给可能是病毒制造者的邮件地址内。这些地址包括:
ZVDOHYIK@yahoo.com、
udtzqccc@yahoo.com、
DTCELACB@yahoo.com、
I1MCH2TH@yahoo.com、
fjshd@rambler.ru、
smr@eurosport.com、
bgnd2@canada.com、
muwripa@fairesuivre.com、
rmxqpey@latemodels.com、
eccles@ballsy.net、
sUCk_my_prick@ijustgotfired.com、
thisisno_fucking_good@usa.com、
S_Mentis@mail-x-change.com、
YJPFJTGZ@excite.com、
JGQZCD@excite.com、
XHZJ2@excite.com、
OZUNYLRL@excite.com、
tsnlqd@excite.com、
cxkawog@krovatka.net、
ssdn@myrealbox.com、
WPADJQ12@yahoo.com
4.需要注意的是,蠕虫附着的电子邮件中利用了类似Nimda等病毒使用的漏洞,如果用户没有加装补丁,会在单击邮件后自动下载并执行蠕虫。
5.蠕虫作为一个附件做了一些伪装,附件的文件名有两个扩展名。其中附件名包括
PICS、
IMAGES、
README、
New_Napster_Site、
NEWS_DOC、
HAMSTER、
YOU_ARE_FAT!、
SEARCHURL、
SETUP、
CARD、
ME_NUDE、
Sorry_about_yesterday、
S3MSONG、
DOCS、
HUMOR、
FUN
扩展名一可能为:
DOC和mp3。
扩展名二可能为:scr和pif。例如:FUN.MP3.pif。
6.邮件的标题会是Re:xxxxxx,其中xxxxxx是发送者Outlook中某邮件的标题。
发信人会从如下列表中随机选取:
Mary L. Adams(mary@c-com.net)
Monika Prado (monika@telia.com)
Support (support@cyberramp.net)
Admin (admin@gte.net)
"Administrator(administrator@border…)
JESSICA BENAVIDES (jessica@aol.com)
Mon S (spiderroll@hotmail.com)
Linda (lgonzal@hotmail.com)
Andy (andy@hweb-media.com)
Kelly Andersen (Gravity@aol.com)
Tina (tina08@yahoo.com)
Rita Tulliani (powerpuf@videotron.ca)
JUDY (JUJUB@AOL.COM)
Anna (lindai zzo@home.com)
程序流程:
释放文件、修改注册表、截取口令、发送蠕虫给其他用户、发送用户计算机信息和口令等到上面提到的电子邮件地址。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
蠕虫病毒Worm.BadtransII,依赖系统Win98/Win2000,驻留运行.
发现日期:
2001-11-22