Worm.BadtransII

2008-02-23 09:17:26来源：互联网阅读 ()

病毒名称: Worm.BadtransII 类别：蠕虫病毒病毒资料：感染:

释放自身和KDLL.dll到系统目录下，并修改注册表Runonce项。

发作:

1.通过Kernel32.exe文件传播，启动时会先将同名的进程终止（如果有的话）。

2.利用MAPI提取邮件地址、或在“我的文档”中搜索*.ht*和*.ASP,并将其中包含的电子邮件地址提出，然后把蠕虫发送给这些用户。

3.截获键盘（使用KDLL.dll）。用户键入的口令等会被加密后记录到cp_25389.nls文件内，并且在用户建立连接后发送给可能是病毒制造者的邮件地址内。这些地址包括：

ZVDOHYIK@yahoo.com、
udtzqccc@yahoo.com、
DTCELACB@yahoo.com、
I1MCH2TH@yahoo.com、
fjshd@rambler.ru、
smr@eurosport.com、
bgnd2@canada.com、
muwripa@fairesuivre.com、
rmxqpey@latemodels.com、
eccles@ballsy.net、
sUCk_my_prick@ijustgotfired.com、
thisisno_fucking_good@usa.com、
S_Mentis@mail-x-change.com、
YJPFJTGZ@excite.com、
JGQZCD@excite.com、
XHZJ2@excite.com、
OZUNYLRL@excite.com、
tsnlqd@excite.com、
cxkawog@krovatka.net、
ssdn@myrealbox.com、
WPADJQ12@yahoo.com

4.需要注意的是，蠕虫附着的电子邮件中利用了类似Nimda等病毒使用的漏洞，如果用户没有加装补丁，会在单击邮件后自动下载并执行蠕虫。

5.蠕虫作为一个附件做了一些伪装，附件的文件名有两个扩展名。其中附件名包括

PICS、
IMAGES、
README、
New_Napster_Site、
NEWS_DOC、
HAMSTER、

YOU_ARE_FAT!、
SEARCHURL、
SETUP、
CARD、
ME_NUDE、
Sorry_about_yesterday、
S3MSONG、
DOCS、
HUMOR、
FUN

扩展名一可能为：
DOC和mp3。
扩展名二可能为：scr和pif。例如：FUN.MP3.pif。

6.邮件的标题会是Re:xxxxxx，其中xxxxxx是发送者Outlook中某邮件的标题。

发信人会从如下列表中随机选取：

Mary L. Adams(mary@c-com.net)
Monika Prado (monika@telia.com)
Support (support@cyberramp.net)
Admin (admin@gte.net)
"Administrator(administrator@border…)
JESSICA BENAVIDES (jessica@aol.com)
Mon S (spiderroll@hotmail.com)
Linda (lgonzal@hotmail.com)
Andy (andy@hweb-media.com)
Kelly Andersen (Gravity@aol.com)
Tina (tina08@yahoo.com)
Rita Tulliani (powerpuf@videotron.ca)
JUDY (JUJUB@AOL.COM)
Anna (lindai zzo@home.com)
程序流程:

释放文件、修改注册表、截取口令、发送蠕虫给其他用户、发送用户计算机信息和口令等到上面提到的电子邮件地址。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：蠕虫病毒Worm.BadtransII,依赖系统Win98/Win2000,驻留运行.
发现日期： 2001-11-22

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有