Worm.Badtrans.a

I-Worm.Badtrans.a[AVP]，W32.Badtrans.gen@mm[NAV]，W32/Badtrans@MM[McAfee]，WORM_BADTRANS.A[Trend]

Win9x / WinNT

1.病毒首次運行後，先釋放兩個病毒檔案到%SystemRoot%下: INETD.EXE（蠕蟲主體）, HKK32.EXE（木馬部分，即Win32.Troj.KeylogHooker.21882）。然後木馬運行，將自身（HKK32.EXE）複製為%System%\KERN32.EXE，並且釋放用於記錄鍵盤的HKSDLL.DLL病毒（Win32.Troj.KeylogHooker.f.5632）和CP_23421.NLS（木馬用於存儲一些其所需內部信息的檔案），然後再將%SystemRoot%下的HKK32.EXE刪掉。釋放出來的木馬來獲取用戶信息，並將其傳送到下面的信箱中：

病毒註冊自己到系統啟動項，以便該病毒在每次重啟 Windows 時運行，具體如下：

在Win9x下：

修改WIN.INI檔案中[windows]節的"Run="項如下：

run=C:\WINDOWS\INETD.EXE

在WinNT下，

在註冊表的主鍵:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

中添加如下鍵值:

"kernel32"="kern32.exe"

在註冊表的主鍵:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

中添加如下鍵值:

"run"="C:\WINDOWS\INETD.EXE"

此時病毒並不發作，而是顯示一個欺騙性的訊息框。

2.待計算機重啟後，蠕蟲將自己註冊為一個服務，潛伏5分鐘後才開始發作，使用Windows的MAPI函式，訪問收件箱，向未閱讀狀態的郵件地址傳送帶毒郵件。

主題：Re: prefix

附屬檔案即為蠕蟲病毒副本，檔案名稱是下面列表中隨機的一個：

Pics.ZIP.scr

images.pif

README.TXT.pif

New_Napster_Site.DOC.scr

news_doc.scr

hamster.ZIP.scr

YOU_are_FAT!.TXT.pif

searchURL.scr

SETUP.pif

Card.pif

Me_nude.AVI.pif

Sorry_about_yesterday.DOC.pif

s3msong.MP3.pif

docs.scr

Humor.TXT.pif

fun.pif

正文：

病毒會在原郵件內容的開頭加上：

<原正確的發件人名字> wrote:

欺騙收到病毒郵件的人。

如果郵件是沒有正文的，那么病毒會在正文中加上：

Take a look to the attachment.

由於病毒自身bug有可能在傳送過程中出錯，但即使這樣，由於該蠕蟲不斷的濫發郵件，仍然會造成企業的郵件伺服器嚴重阻塞以至不能工作。