病毒名称(中文):
坏透了
病毒别名:
I-Worm.BadtransII[AVP],W32.Badtrans.B@mm[NAV],WORM
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
29020
影响系统:
Win9xWinNT
病毒行为:
这是Worm.Badtrans.a病毒的变种,也是通过邮件传播的蠕虫病毒,加壳后大小约29K(展开后在60K左右)。同时它也释放木马程序到被感染机器,盗取用户信息。这个变种在发带毒邮件和木马功能上有所改进,此病毒具有如下特征:
1.病毒运行后,会复制自身到%SystemRoot%和%System%目录下,命名为kernel32.exe。同时,释放木马文件%System%\Kdll.dll(hook键盘等用),创建键盘记录文件%System%\Cp_25389.nls(记录在里面的信息会被病毒加密)。
2.在注册表的主键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
中添加如下键值:
"Kernel32"="kernel32.exe"
以便该病毒在每次重启Windows时运行。
3.病毒会搜索*.ht*和*.asp文件中搜索Email地址,另外还会使用MAPI函数获取收件箱中的邮件地址(即伪装成用户回复的邮件),然后使用SMTP直接向这些地址发送带毒邮件。具体格式如下:
发件人:
获取被感染计算机上可用的SMTP信息作为邮件的From信息,假如没有则从下列欺骗性地址中随机选取一个
"Anna"
"JUDY"
"RitaTulliani"
"Tina"
"KellyAndersen"
"Andy"
"Linda"
"MonS"
"Joanna"
"JESSICABENAVIDES"
"Administrator"
"Admin"
"Support"
"MonikaPrado"
"MaryL.Adams"
"Anna"
"JUDY"
"Tina"
发件人前面会加上前缀"_",例如_username@server.com.cn
主题:
"Re:"或者为空,对于使用MAPI函数从收件箱中得到的邮件地址可能使用:"Re:<其原来的主题>"。
正文:
没有文本内容,但是正文采用了HTML格式,利用微软的IFRAME漏洞,使没有打补丁的用户预览邮件即可自动运行病毒。
附件:
附件为病毒副本文件,其名称格式为..(双后缀名),其中每个部分从下面列表中随机选取
可能为下面之一:
Pics
images
README
New_Napster_Site
news_doc
HAMSTER
YOU_are_FAT!
stuff
SETUP
Card
Me_nude
Sorry_about_yesterday
info
docs
Humor
fun
SEARCHURL
S3MSONG
可能为下面之一:
.doc,.mp3,.zip
可能为:
.pif,.scr
例如病毒附件名称可能是:Pics.Doc.pif。
另外,该病毒不会向同一个邮件地址发送两次带毒邮件。病毒将发送过的Email地址写入%System%\Protocol.dll文件,以防止向一个人发送多封邮件以隐蔽自己。
4.病毒使用计时器每秒检查一次当前打开的窗口,当发现窗口中的标题前三个字母为下列的一个时LOG,PAS,REM,CON,TER,NET(即logon,password,remote,connection,terminal,network这些用户会输入帐号密码程序文件开头的三个字母),木马就会用户击键记录60秒,然后每30秒将记录文件和缓冲的密码就会从下列邮件地址和邮件服务器中随机选择一个发送:
ZVDOHYIK@yahoo.commx2.mail.yahoo.com
udtzqccc@yahoo.commx2.mail.yahoo.com
DTCELACB@yahoo.commx2.mail.yahoo.com
I1MCH2TH@yahoo.commx2.mail.yahoo.com
WPADJQ12@yahoo.commx2.mail.yahoo.com
fjshd@rambler.rumail5.rambler.ru
smr@eurosport.commail.ifrance.com
bgnd2@canada.commail.canada.com
muwripa@fairesuivre.comfs.cpio.com
rmxqpey@latemodels.cominbound.latemodels.com.criticalpath.net
eccles@ballsy.netinbound.ballsy.net.criticalpath.net
suck_my_prick@ijustgotfired.commail.monkeybrains.net
suck_my_prick4@ukr.netmail.ukr.net
thisisno_fucking_good@usa.comusa-com.mr.outblaze.com
S_Mentis@mail-x-change.commail-fwd.rapidsite.net
YJPFJTGZ@excite.commta.excite.com
JGQZCD@excite.commta.excite.com
XHZJ3@excite.commta.excite.com
OZUNYLRL@excite.commta.excite.com
tsnlqd@excite.commta.excite.com
cxkawog@krovatka.netimap.front.ru
ssdn@myrealbox.comsmtp.myrealbox.com
除了上述击键记录,木马还会将一些其他用户信息发送到指定邮箱,比如I地址等等。
5.根据某种设置,病毒会在运行后一个特定时间关闭自己,停止运行。
