badtrans.b病毒

badtrans.b病毒,被感染的表現是保存的網頁打開時出錯。

該病毒在Win32系統下傳染,病毒仍利用Outlook Express的漏洞,傳送帶有染毒附屬檔案的郵件,當用戶在預覽帶有病毒附屬檔案的郵件時,附屬檔案就會自動執行,從而使用戶受到該病毒的感染。

病毒體包含兩個部分——蠕蟲和木馬,蠕虫部分用於傳送染毒信息,木馬用於傳送從染毒系統上竊取的用戶信息,它將被感染機器的RAS數據、用戶密碼、鍵盤日誌等傳送到指定的郵件地址。

badtrans.b病毒

Badtrans.b病毒,被感染的表現是保存的網頁打開時出錯。郵件病毒
應對方法是備份重要檔案,然後用最新防毒軟體進行查殺。如果還有問題,則再次安裝系統。
Badtrans.b

病毒名稱:BadTrans.B
別名: W95/Badtrans.B@mm,W32/Badtrans-B, W32/Badtrans@mm,BadtransII, W32.Badtrans.B@mm, I

-Worm.BadtransII,W32/BadTrans.B-mm

病毒特點:

Badtrans.b是一個電子郵件蠕蟲病毒,該病毒為前一階段出現的病毒Badtrans的變種。

該病毒在Win32系統下傳染,病毒仍利用Outlook Express的漏洞,傳送帶有染毒附屬檔案的郵件,當用戶在預

覽帶有病毒附屬檔案的郵件時,附屬檔案就會自動執行,從而使用戶受到該病毒的感染。病毒體包含兩個部分——

蠕蟲和木馬,蠕虫部分用於傳送染毒信息,木馬用於傳送從染毒系統上竊取的用戶信息,它將被感染機器

的RAS數據、用戶密碼、鍵盤日誌等傳送到指定的郵件地址。一旦遭受病毒感染,病毒首先將自身釋放到

windows的system目錄下,命名為Kernel32.exe,並修改註冊表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\RunOnce

Kernel32=Kernel32.exe

並生成一個動態程式庫檔案:KDLL.DLL,並將竊取的信息傳送到hotmail的一個郵件地址,這些日誌信息

被存儲在windows的system目錄下的cp_25389.nls中。病毒在完成以上安裝後將原始的感染檔案刪除。

郵件形式如下:

發件人:(原始傳送者或從以下地址中隨機選取的假地址)

"Anna" <[email protected]>

"JUDY" <[email protected]>

"Rita Tulliani" <[email protected]>

"Tina" <[email protected]>

"Kelly Andersen" <[email protected]>

"Andy" <[email protected]>

"Linda" <[email protected]>

"Mon S" <[email protected]>

"Joanna" <[email protected]>

"JESSICA BENAVIDES" <[email protected]>

"Administrator" <[email protected]>

"Admin" <[email protected]>

"Support" <[email protected]>

"Monika Prado" <[email protected]>

"Mary L.Adams" <[email protected]>

"Anna" <[email protected]>

"JUDY" <[email protected]>

"Tina" [email protected]主題:(主題為空或收件箱中原始郵件主題的回覆形式)

郵件主體:(主體為空)

附屬檔案:(附屬檔案名稱為以下名稱和擴展名中隨機選取的總和,即:“檔案名稱” +“擴展名1”+“擴展名2

”)

檔案名稱為:

Pics(或PICS )

Card(或CARD)

images(或IMAGES)

Me_nude(或ME_NUDE)

README

Sorry_about_yesterday

New_Napster_Site

info

news_doc(或NEWS_DOC)

docs(或DOCS)

HAMSTER

Humor(或HUMOR)

YOU_are_FAT!(或YOU_ARE_FAT!)

fun(或FUN)

stuff

SEARCHURL

SETUP

S3MSONG

擴展名1為DOC、ZIP或MP3

擴展名2為scr或pif

該病毒採用兩種不同的方式收集郵件地址,並直接連線到SMTP伺服器上傳送染毒郵件。其一是蠕蟲將掃描

*.HT*和*.ASP檔案,並從中提取出郵件地址,另一種方法是從收件箱中讀取郵件並從中獲得郵件地址。

蠕蟲對同一郵件地址僅感染一次,病毒將所有感染過的郵件地址保存在C:\Windows\System目錄下的

PROTOCOL.DLL中,並在每次傳送信息前檢查該檔案。

預防該病毒在瀏覽帶毒附屬檔案的郵件時自動執行的特點,請下載微軟的補丁程式。

相關詞條

相關搜尋

熱門詞條

聯絡我們