Badtrans.b
病毒名稱:BadTrans.B
別名: W95/Badtrans.B@mm,W32/Badtrans-B, W32/Badtrans@mm,BadtransII, W32.Badtrans.B@mm, I-Worm.BadtransII,W32/BadTrans.B-mm
基本介紹
- 中文名:Badtrans.b
- 外文名: W95/Badtrans.B@mm,W32/Badtrans-B
- 類別:蠕蟲病毒
- 性質:Badtrans的變種
病毒特點,郵件形式,
病毒特點
Badtrans.b是一個電子郵件蠕蟲病毒,該病毒為前一階段出現的病毒Badtrans的變種。
該病毒在Win32系統下傳染,病毒仍利用Outlook Express的漏洞,傳送帶有染毒附屬檔案的郵件,當用戶在預覽帶有病毒附屬檔案的郵件時,附屬檔案就會自動執行,從而使用戶受到該病毒的感染。病毒體包含兩個部分——蠕蟲和木馬,蠕虫部分用於傳送染毒信息,木馬用於傳送從染毒系統上竊取的用戶信息,它將被感染機器的RAS數據、用戶密碼、鍵盤日誌等傳送到指定的郵件地址。一旦遭受病毒感染,病毒首先將自身釋放到windows的system目錄下,命名為Kernel32.exe,並修改註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOnce
Kernel32=Kernel32.exe並生成一個動態程式庫檔案:KDLL.DLL,並將竊取的信息傳送到hotmail的一個郵件地址,這些日誌信息被存儲在windows的system目錄下的cp_25389.nls中。病毒在完成以上安裝後將原始的感染檔案刪除。
郵件形式
發件人:(原始傳送者或從以下地址中隨機選取的假地址)
主題:(主題為空或收件箱中原始郵件主題的回覆形式)
郵件主體:(主體為空)
附屬檔案:(附屬檔案名稱為以下名稱和擴展名中隨機選取的總和,即:“檔案名稱” +“擴展名1”+“擴展名2”)
檔案名稱為:
Pics(或PICS )
Card(或CARD)
images(或IMAGES)
Me_nude(或ME_NUDE)
README
Sorry_about_yesterday
New_Napster_Site
info
news_doc(或NEWS_DOC)
docs(或DOCS)
HAMSTER
Humor(或HUMOR)
YOU_are_FAT!(或YOU_ARE_FAT!)
fun(或FUN)
stuff
SEARCHURL
SETUP
S3MSONG
擴展名1為DOC、ZIP或MP3
擴展名2為scr或pif
蠕蟲對同一郵件地址僅感染一次,病毒將所有感染過的郵件地址保存在C:\Windows\System目錄下的PROTOCOL.DLL中,並在每次傳送信息前檢查該檔案。預防該病毒在瀏覽帶毒附屬檔案的郵件時自動執行的特點,請下載微軟的補丁程式。