病毒标签

　　病毒名称：Email-Worm.Win32.Badtrans.a

　　病毒类型：邮件蠕虫

　　危害等级：中

　　文件长度：13,312 字节

　　文件MD5 ：39C85A0D847AA21C7DEDD69DCA7AE9BC

　　公开范围：完全公开

　　感染系统：Win9x以上所有版本

　　开发工具：VC 5.0

　　加壳类型：UPX

　　病毒描述

　　该病毒一旦执行，常驻内存的蠕虫就会显示一个错误的对话框，它还将拷贝自身存放在Windows目录下，名为INETD.EXE。在WINDOWS SYSTEM目录下创建文件KERN32.EXE和 HKSDLL.DLL，修改注册表信息以便在系统再次启动时装载特洛伊木马。一旦运行，特洛伊木马尝试将被感染者的IP地址发送给病毒的作者，病毒作者获得此信息后，就可以通过Internet连接到被感染的系统，并窃取被害者的个人信息，如用户名和密码。另外，特洛伊木马还会窃取一些其它的重要信息，如信用卡和银行的账号和密码。再次启动Windows后，蠕虫尝试回复Microsoft Outlook文件夹中的未打开邮件，并将其自身作为附件。

　　行为分析-本地行为

　　修改注册表

　　1、添加启动项键值：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

　　加键：kern32

　　键值：" kern32.exe"

　　2、蠕虫将自身复制至系统目录和Windows根目录，以下列名字命名：

　　%System% hksdll.dll ------------为木马文件

　　%System% kern32.exe------------为木马文件

　　%Windir% inetd.exe

　　3、邮件包含以下内容：

　　Take a look to the attachment.

　　附件的名称是以下之一：

　　Pics.ZIP.scr

　　images.pif

　　README.TXT.pif

　　New_Napster_Site.DOC.scr

　　news_doc.scr

　　hamster.ZIP.scrnews_doc.scr

　　YOU_are_FAT!.TXT.pif

　　searchURL.scr

　　SETUP.pif

　　Card.pif

　　Me_nude.AVI.pifCard.pif

　　Sorry_about_yesterday.DOC.pif

　　s3msong.MP3.pifSorry_about_yesterday.DOC.pif

　　docs.scr

　　Humor.TXT.pif

　　fun.pifHumor.TXT.pif

　　--------------------------------------------------------------------------------

　　清除方案

　　1 、使用安天木马防线可彻底清除此病毒（推荐）。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

　　(1) 使用安天木马防线“进程管理”关闭病毒进程

　　(2) 删除病毒文件

　　%System% hksdll.dll ------------为木马文件

　　%System% kern32.exe------------为木马文件

　　%Windir% inetd.exe

　　(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

　　加键：kern32

　　键值：" kern32.exe"