病毒名稱:
BadTrans.B別名: W95/Badtrans.B@mm,W32/Badtrans-B,W32/Badtrans@mm,BadtransII,W32.Badtrans.B@mm, I-Worm.BadtransII,W32/BadTrans.B-mm
病毒特點:
Badtrans.b是一個電子郵件蠕蟲病毒,該病毒為前一階段出現的病毒Badtrans的變種。該病毒在Win32系統下傳染,病毒仍利用Outlook Express的漏洞,傳送帶有染毒附屬檔案的郵件,當用戶在預覽帶有病毒附屬檔案的郵件時,附屬檔案就會自動執行,從而使用戶受到該病毒的感染。病毒體包含兩個部分——蠕蟲和木馬,蠕虫部分用於傳送染毒信息,木馬用於傳送從染毒系統上竊取的用戶信息,它將被感染機器的RAS數據、用戶密碼、鍵盤日誌等傳送到指定的郵件地址。一旦遭受病毒感染,病毒首先將自身釋放到windows的system目錄下,命名為Kernel32.exe,並修改註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOnce
Kernel32=Kernel32.exe
並生成一個動態程式庫檔案:KDLL.DLL,並將竊取的信息傳送到hotmail的一個郵件地址,這些日誌信息被存儲在windows的system目錄下的cp_25389.nls中。病毒在完成以上安裝後將原始的感染檔案刪除。
郵件形式如下:
發件人:(原始傳送者或從以下地址中隨機選取的假地址)
"Anna" <[email protected]>
"JUDY" <[email protected]>
"Rita Tulliani" <[email protected]>
"Tina" <[email protected]>
"Kelly Andersen" <[email protected]>
"Andy" <[email protected]>
"Linda" <[email protected]>
"Mon S" <[email protected]>
"Joanna" <[email protected]>
"JESSICA BENAVIDES" <[email protected]>
"Administrator" <[email protected]>
"Admin" <[email protected]>
"Support"<[email protected]>
"Monika Prado" <[email protected]>
"Mary L.Adams"<[email protected]>
"Anna" <[email protected]>
"JUDY" <[email protected]>
"Tina" [email protected]主題:(主題為空或收件箱中原始郵件主題的回覆形式)
郵件主體:(主體為空)
附屬檔案:(附屬檔案名稱為以下名稱和擴展名中隨機選取的總和,即:“檔案名稱” +“擴展名1”+“擴展名2”)
檔案名稱為:
Pics(或PICS )
Card(或CARD)
images(或IMAGES)
Me_nude(或ME_NUDE)
README
Sorry_about_yesterday
New_Napster_Site
info
news_doc(或NEWS_DOC)
docs(或DOCS)
HAMSTER
Humor(或HUMOR)
YOU_are_FAT!(或YOU_ARE_FAT!)
fun(或FUN)
stuff
SEARCHURL
SETUP
S3MSONG
擴展名1為DOC、ZIP或MP3
擴展名2為scr或pif
該病毒採用兩種不同的方式收集郵件地址,並直接連線到SMTP伺服器上傳送染毒郵件。其一是蠕蟲將掃描*.HT*和*.ASP檔案,並從中提取出郵件地址,另一種方法是從收件箱中讀取郵件並從中獲得郵件地址。
蠕蟲對同一郵件地址僅感染一次,病毒將所有感染過的郵件地址保存在C:\Windows\System目錄下的PROTOCOL.DLL中,並在每次傳送信息前檢查該檔案。
預防該病毒在瀏覽帶毒附屬檔案的郵件時自動執行的特點,請下載微軟的補丁程式。地址是:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp