Email-Worm.Win32.Badtrans.a

病毒名稱：Email-Worm.Win32.Badtrans.a

病毒類型：郵件蠕蟲

危害等級：中

檔案長度：13,312 位元組

檔案MD5：39C85A0D847AA21C7DEDD69DCA7AE9BC

公開範圍：完全公開

感染系統：Win9x以上所有版本

開發工具：VC 5.0

加殼類型：UPX

一旦運行，特洛伊木馬嘗試將被感染者的IP位址傳送給病毒的作者，病毒作者獲得此信息後，就可以通過Internet連線到被感染的系統，並竊取被害者的個人信息，如用戶名和密碼。另外，特洛伊木馬還會竊取一些其它的重要信息，如信用卡和銀行的賬號和密碼。再次啟動Windows後，蠕蟲嘗試回復Microsoft Outlook資料夾中的未打開郵件，並將其自身作為附屬檔案。

修改註冊表

1、添加啟動項鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\

加鍵：kern32

鍵值：" kern32.exe"

2、蠕蟲將自身複製至系統目錄和Windows根目錄，以下列名字命名：

%System%\ hksdll.dll ------------為木馬檔案

%System%\ kern32.exe------------為木馬檔案

%Windir%\ inetd.exe

3、郵件包含以下內容：

Take a look to the attachment.

附屬檔案的名稱是以下之一：

Pics.ZIP.scr

images.pif

README.TXT.pif

New_Napster_Site.DOC.scr

news_doc.scr

hamster.ZIP.scrnews_doc.scr

YOU_are_FAT!.TXT.pif

searchURL.scr

SETUP.pif

Card.pif

Me_nude.AVI.pifCard.pif

Sorry_about_yesterday.DOC.pif

s3msong.MP3.pifSorry_about_yesterday.DOC.pif

docs.scr

Humor.TXT.pif

fun.pifHumor.TXT.pif

1、使用安天木馬防線可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用安天木馬防線“進程管理”關閉病毒進程

(2) 刪除病毒檔案

%System%\ hksdll.dll ------------為木馬檔案

%System%\ kern32.exe------------為木馬檔案

%Windir%\ inetd.exe

(3) 恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\RunOnce\

加鍵：kern32

鍵值：" kern32.exe"