病毒名称(中文):
坏透了
病毒别名:
I-Worm.Badtrans.a[AVP],W32.Badtrans.gen@mm[NAV],W3
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
13312
影响系统:
Win9xWinNT
病毒行为:
这是一个通过邮件来传播的蠕虫病毒,加壳后大小约13K(展开后在40K左右),同时该病毒还会在用户机器上安装木马程序盗取用户信息(蠕虫出释放另外几个文件完成此功能)。
1.病毒首次运行后,先释放两个病毒文件到%SystemRoot%下:INETD.EXE(蠕虫主体),HKK32.EXE(木马部分,即Win32.Troj.KeylogHooker.21882)。然后木马运行,将自身(HKK32.EXE)复制为%System%\KERN32.EXE,并且释放用于记录键盘的HKSDLL.DLL病毒(Win32.Troj.KeylogHooker.f.5632)和CP_23421.NLS(木马用于存储一些其所需内部信息的文件),然后再将%SystemRoot%下的HKK32.EXE删掉。释放出来的木马来获取用户信息,并将其发送到下面的邮箱中:
ld8dl1@mailandnews.com
病毒注册自己到系统启动项,以便该病毒在每次重启Windows时运行,具体如下:
在Win9x下:
修改WIN.INI文件中[windows]节的"Run="项如下:
run=C:\WINDOWS\INETD.EXE
在WinNT下,
在注册表的主键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
中添加如下键值:
"kernel32"="kern32.exe"
在注册表的主键:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
中添加如下键值:
"run"="C:\WINDOWS\INETD.EXE"
此时病毒并不发作,而是显示一个欺骗性的消息框,如下图:
2.待计算机重启后,蠕虫将自己注册为一个服务,潜伏5分钟后才开始发作,使用Windows的MAPI函数,访问收件箱,向未阅读状态的邮件地址发送带毒邮件。
主题:Re:prefix
附件即为蠕虫病毒副本,文件名是下面列表中随机的一个:
Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif
正文:
病毒会在原邮件内容的开头加上:
<原正确的发件人名字>wrote:
欺骗收到病毒邮件的人。
假如邮件是没有正文的,那么病毒会在正文中加上:
Takealooktotheattachment.
由于病毒自身bug有可能在发送过程中出错,但即使这样,由于该蠕虫不断的滥发邮件,仍然会造成企业的邮件服务器严重阻塞以至不能工作。