Worm.Badtrans.b是一种蠕虫病毒，它是Worm.Badtrans.a病毒的变种，也是通过邮件传播的蠕虫病毒，加壳后大小约29K，释放木马程序到被感染机器，盗取用户信息。.病毒运行后，会复制自身到%SystemRoot%和%System%目录下，命名为kernel32.exe。同时，释放木马文件%System%\\Kdll.dll（hook键盘等用），创建键盘记录文件%System%\\Cp_25389.nls（记录在里面的信息会被病毒加密）。病毒会搜索*.ht*和*.asp文件中搜索Email地址，另外还会使用MAPI函数获取收件箱中的邮件地址（即伪装成用户回复的邮件），然后使用SMTP直接向这些地址发送带毒邮件

Worm.Badtrans.b(简介 病毒行为)

相关介绍

Worm.Badtrans.b

简介

病毒别名：I-Worm.BadtransII[AVP]，W32.Badtrans.B@mm[NAV]，WORM_BADTRANS.B[Trend]，W32/BadTrans@MM[McAfee]，Win32.Badtrans.29020[CA]

处理时间：2001-11-24

威胁级别：★★★

中文名称：坏透了

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为

这是这个变种在发带毒邮件和木马功能上有所改进，此病毒具有如下特征：

1　2.在注册表的主键:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

中添加如下键值:

"Kernel32"="kernel32.exe"

以便该病毒在每次重启 Windows 时运行。

3.具体格式如下：

发件人：

获取被感染计算机上可用的SMTP信息作为邮件的From信息，如果没有则从下列欺骗性地址中随机选取一个

"Anna"

"JUDY"

"Rita Tulliani"

"Tina"

"Kelly Andersen"

"Andy"

"Linda"

"Mon S"

"Joanna"

"JESSICA BENAVIDES"

"Administrator"

"Admin"

"Support"

"Monika Prado"

"Mary L. Adams"

"Anna"

"JUDY"

"Tina"

发件人前面会加上前缀"_"，例如　主题:

"Re:" 或者为空，对于使用MAPI函数从收件箱中得到的邮件地址可能使用："Re: <其原来的主题>"。

正文：

没有文本内容，但是正文采用了HTML格式，利用微软的IFRAME漏洞，使没有打补丁的用户预览邮件即可自动运行病毒。

附件：

附件为病毒副本文件，其名称格式为..（双后缀名），其中每个部分从下面列表中随机选取

可能为下面之一：

Pics

images

README

New_Napster_Site

news_doc

HAMSTER

YOU_are_FAT!

stuff

SETUP

Card

Me_nude

Sorry_about_yesterday

info

docs

Humor

fun

SEARCHURL

S3MSONG

可能为下面之一：

.doc，.mp3，.zip

可能为：

.pif，.scr

例如病毒附件名称可能是：Pics.Doc.pif。

另外，该病毒不会向同一个邮件地址发送两次带毒邮件。病毒将发送过的Email地址写入%System%\\Protocol.dll文件，以防止向一个人发送多封邮件以隐蔽自己。

4.病毒使用计时器每秒检查一次当前打开的窗口，当发现窗口中的标题前三个字母为下列的一个时LOG，PAS，REM，CON，TER，NET（即logon, password, remote, connection, terminal, network这些用户会输入帐号密码程序文件开头的三个字母），木马就会用户击键记录60秒，然后每30秒将记录文件和缓冲的密码就会从下列邮件地址和邮件服务器中随机选择一个发送：

除了上述击键记录，木马还会将一些其他用户信息发送到指定邮箱，比如I地址等等。

5.根据某种设置，病毒会在运行后一个特定时间关闭自己，停止运行。

相关介绍

从2001年11月23日开始“W32/Badtrans.B”蠕虫以英国为中心正在扩大感染范围，这一势头目前还没有收敛的迹象。

Badtrans.B的危险性在于只要打开电子邮件或者预览电子邮件便会被感染。该蠕虫与W32/Nimda病毒中使用的方法一样，是通过恶意利用“由于不恰当的MIME邮件头而导致Internet Explorer执行电子邮件附件（MS01-020）”这一存在于Internet Explorer（IE）的软件缺陷来自动执行蠕虫程序的。该软件缺陷在IE5.01以及5.5中存在。如果安装上上述各版本的Service Pack 2或者升级为IE6便可以消除这一软件缺陷。不过，如果在安装IE6时选择最小安装，则不会弥补该软件缺陷因此需要引起注意。

该蠕虫只通过电子邮件感染。蠕虫通过检查收件箱中的未读邮件以后向发件人发送附带病毒的电子邮件。另外，蠕虫还检查名为Personal的文档文件夹以及Internet Explorer的Cache文件夹，从中搜索保存在“*.ht*”以及“*.asp”文件中的电子邮件地址，然互向所发现的电子邮件地址发送病毒邮件。附带该蠕虫的电子邮件的邮件名有3种：（1）只有“Re:”；（2）在主题名开头带有“Re:”之前发送的电子邮件的回信名；（3）主题名为空。

另外，该蠕虫还具有特洛伊木马的功能，可以向外部泄漏用户名以及密码等信息，该蠕虫会监视LOG～（例：LOGON），PAS～（例：PASSWORD），TER～（例：TERMINAL）等窗口并且在60秒钟内记录键盘输入。然后将其内容发送给特定的电子邮件地址。通过这一方法盗取Terminal Server以及RAS的密码。