Worm.Badtrans.a

王朝other·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

坏透了

病毒别名:

I-Worm.Badtrans.a[AVP],W32.Badtrans.gen@mm[NAV],W3

威胁级别:

★★★☆☆

病毒类型:

蠕虫病毒

病毒长度:

13312

影响系统:

Win9xWinNT

病毒行为:

这是一个通过邮件来传播的蠕虫病毒,加壳后大小约13K(展开后在40K左右),同时该病毒还会在用户机器上安装木马程序盗取用户信息(蠕虫出释放另外几个文件完成此功能)。

1.病毒首次运行后,先释放两个病毒文件到%SystemRoot%下:INETD.EXE(蠕虫主体),HKK32.EXE(木马部分,即Win32.Troj.KeylogHooker.21882)。然后木马运行,将自身(HKK32.EXE)复制为%System%\KERN32.EXE,并且释放用于记录键盘的HKSDLL.DLL病毒(Win32.Troj.KeylogHooker.f.5632)和CP_23421.NLS(木马用于存储一些其所需内部信息的文件),然后再将%SystemRoot%下的HKK32.EXE删掉。释放出来的木马来获取用户信息,并将其发送到下面的邮箱中:

ld8dl1@mailandnews.com

病毒注册自己到系统启动项,以便该病毒在每次重启Windows时运行,具体如下:

在Win9x下:

修改WIN.INI文件中[windows]节的"Run="项如下:

run=C:\WINDOWS\INETD.EXE

在WinNT下,

在注册表的主键:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

中添加如下键值:

"kernel32"="kern32.exe"

在注册表的主键:

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows

中添加如下键值:

"run"="C:\WINDOWS\INETD.EXE"

此时病毒并不发作,而是显示一个欺骗性的消息框,如下图:

2.待计算机重启后,蠕虫将自己注册为一个服务,潜伏5分钟后才开始发作,使用Windows的MAPI函数,访问收件箱,向未阅读状态的邮件地址发送带毒邮件。

主题:Re:prefix

附件即为蠕虫病毒副本,文件名是下面列表中随机的一个:

Pics.ZIP.scr

images.pif

README.TXT.pif

New_Napster_Site.DOC.scr

news_doc.scr

hamster.ZIP.scr

YOU_are_FAT!.TXT.pif

searchURL.scr

SETUP.pif

Card.pif

Me_nude.AVI.pif

Sorry_about_yesterday.DOC.pif

s3msong.MP3.pif

docs.scr

Humor.TXT.pif

fun.pif

正文:

病毒会在原邮件内容的开头加上:

<原正确的发件人名字>wrote:

欺骗收到病毒邮件的人。

假如邮件是没有正文的,那么病毒会在正文中加上:

Takealooktotheattachment.

由于病毒自身bug有可能在发送过程中出错,但即使这样,由于该蠕虫不断的滥发邮件,仍然会造成企业的邮件服务器严重阻塞以至不能工作。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航