Badtrans.b

Badtrans.b是一個電子郵件蠕蟲病毒，該病毒為前一階段出現的病毒Badtrans的變種。

該病毒在Win32系統下傳染，病毒仍利用Outlook Express的漏洞，傳送帶有染毒附屬檔案的郵件，當用戶在預覽帶有病毒附屬檔案的郵件時，附屬檔案就會自動執行，從而使用戶受到該病毒的感染。病毒體包含兩個部分——蠕蟲和木馬，蠕虫部分用於傳送染毒信息，木馬用於傳送從染毒系統上竊取的用戶信息，它將被感染機器的RAS數據、用戶密碼、鍵盤日誌等傳送到指定的郵件地址。一旦遭受病毒感染，病毒首先將自身釋放到windows的system目錄下，命名為Kernel32.exe，並修改註冊表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\RunOnce

Kernel32=Kernel32.exe並生成一個動態程式庫檔案：KDLL.DLL，並將竊取的信息傳送到hotmail的一個郵件地址，這些日誌信息被存儲在windows的system目錄下的cp_25389.nls中。病毒在完成以上安裝後將原始的感染檔案刪除。

發件人：（原始傳送者或從以下地址中隨機選取的假地址）

主題：（主題為空或收件箱中原始郵件主題的回覆形式）

郵件主體：（主體為空）

附屬檔案：（附屬檔案名稱為以下名稱和擴展名中隨機選取的總和，即：“檔案名稱” +“擴展名1”+“擴展名2”）

檔案名稱為：

Pics(或PICS )

Card(或CARD)

images(或IMAGES)

Me_nude(或ME_NUDE)

README

Sorry_about_yesterday

New_Napster_Site

info

news_doc(或NEWS_DOC)

docs(或DOCS)

HAMSTER

Humor(或HUMOR)

YOU_are_FAT!(或YOU_ARE_FAT!)

fun(或FUN)

stuff

SEARCHURL

SETUP

S3MSONG

擴展名1為DOC、ZIP或MP3

擴展名2為scr或pif

該病毒採用兩種不同的方式收集郵件地址，並直接連線到SMTP伺服器上傳送染毒郵件。其一是蠕蟲將掃描*.HT*和*.ASP檔案，並從中提取出郵件地址，另一種方法是從收件箱中讀取郵件並從中獲得郵件地址。

蠕蟲對同一郵件地址僅感染一次，病毒將所有感染過的郵件地址保存在C:\Windows\System目錄下的PROTOCOL.DLL中，並在每次傳送信息前檢查該檔案。預防該病毒在瀏覽帶毒附屬檔案的郵件時自動執行的特點，請下載微軟的補丁程式。