基本信息(病毒别名 处理时间 威胁级别 中文名称 病毒类型 影响系统)

病毒行为

基本信息

病毒别名

I-Worm.Badtrans.a[AVP]，W32.Badtrans.gen@mm[NAV]，W32/Badtrans@MM[McAfee]，WORM_BADTRANS.A[Trend]

处理时间

2001-04-12

威胁级别

中文名称

坏透了

病毒类型

蠕虫

影响系统

Win9x / WinNT

病毒行为

这是一个通过邮件来传播的蠕虫病毒，加壳后大小约13K（展开后在40K左右），同时该病毒还会在用户机器上安装木马程序盗取用户信息（蠕虫出释放另外几个文件完成此功能）。

1.病毒首次运行后，先释放两个病毒文件到%SystemRoot%下: INETD.EXE（蠕虫主体）, HKK32.EXE（木马部分，即Win32.Troj.KeylogHooker.21882）。然后木马运行，将自身（HKK32.EXE）复制为%System%\\KERN32.EXE，并且释放用于记录键盘的HKSDLL.DLL病毒（Win32.Troj.KeylogHooker.f.5632）和CP_23421.NLS（木马用于存储一些其所需内部信息的文件），然后再将%SystemRoot%下的HKK32.EXE删掉。释放出来的木马来获取用户信息，并将其发送到下面的邮箱中：

ld8dl1@mailandnews.com

病毒注册自己到系统启动项，以便该病毒在每次重启 Windows 时运行，具体如下：

在Win9x下：

修改WIN.INI文件中[windows]节的"Run="项如下：

run=C:\\WINDOWS\\INETD.EXE

在WinNT下，

在注册表的主键:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

中添加如下键值:

"kernel32"="kern32.exe"

在注册表的主键:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows

中添加如下键值:

"run"="C:\\WINDOWS\\INETD.EXE"

此时病毒并不发作，而是显示一个欺骗性的消息框，如下图:

2.待计算机重启后，蠕虫将自己注册为一个服务，潜伏5分钟后才开始发作，使用Windows的MAPI函数，访问收件箱，向未阅读状态的邮件地址发送带毒邮件。

主题：Re: prefix

附件即为蠕虫病毒副本，文件名是下面列表中随机的一个：

Pics.ZIP.scr

images.pif

README.TXT.pif

New_Napster_Site.DOC.scr

news_doc.scr

hamster.ZIP.scr

YOU_are_FAT!.TXT.pif

searchURL.scr

SETUP.pif

Card.pif

Me_nude.AVI.pif

Sorry_about_yesterday.DOC.pif

s3msong.MP3.pif

docs.scr

Humor.TXT.pif

fun.pif

正文：

病毒会在原邮件内容的开头加上：

<原正确的发件人名字> wrote:

欺骗收到病毒邮件的人。

如果邮件是没有正文的，那么病毒会在正文中加上：

Take a look to the attachment.

由于病毒自身bug有可能在发送过程中出错，但即使这样，由于该蠕虫不断的滥发邮件，仍然会造成企业的邮件服务器严重阻塞以至不能工作。