病毒标签
病毒名称:Email-Worm.Win32.Badtrans.a
病毒类型:邮件蠕虫
危害等级:中
文件长度:13,312 字节
文件MD5 :39C85A0D847AA21C7DEDD69DCA7AE9BC
公开范围:完全公开
感染系统:Win9x以上所有版本
开发工具:VC 5.0
加壳类型:UPX
病毒描述
该病毒一旦执行,常驻内存的蠕虫就会显示一个错误的对话框,它还将拷贝自身存放在Windows目录下,名为INETD.EXE。在WINDOWS SYSTEM目录下创建文件KERN32.EXE和 HKSDLL.DLL,修改注册表信息以便在系统再次启动时装载特洛伊木马。一旦运行,特洛伊木马尝试将被感染者的IP地址发送给病毒的作者,病毒作者获得此信息后,就可以通过Internet连接到被感染的系统,并窃取被害者的个人信息,如用户名和密码。另外,特洛伊木马还会窃取一些其它的重要信息,如信用卡和银行的账号和密码。再次启动Windows后,蠕虫尝试回复Microsoft Outlook文件夹中的未打开邮件,并将其自身作为附件。
行为分析-本地行为
修改注册表
1、添加启动项键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
加键:kern32
键值:" kern32.exe"
2、蠕虫将自身复制至系统目录和Windows根目录,以下列名字命名:
%System% hksdll.dll ------------为木马文件
%System% kern32.exe------------为木马文件
%Windir% inetd.exe
3、邮件包含以下内容:
Take a look to the attachment.
附件的名称是以下之一:
Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scrnews_doc.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pifCard.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pifSorry_about_yesterday.DOC.pif
docs.scr
Humor.TXT.pif
fun.pifHumor.TXT.pif
--------------------------------------------------------------------------------
清除方案
1 、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%System% hksdll.dll ------------为木马文件
%System% kern32.exe------------为木马文件
%Windir% inetd.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
加键:kern32
键值:" kern32.exe"
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!