词条 | Email-Worm.Win32.Badtrans.a |
释义 | 基本信息病毒名称:Email-Worm.Win32.Badtrans.a 病毒类型:邮件蠕虫 危害等级:中 文件长度:13,312 字节 文件MD5:39C85A0D847AA21C7DEDD69DCA7AE9BC 公开范围:完全公开 感染系统:Win9x以上所有版本 开发工具:VC 5.0 加壳类型:UPX 病毒描述该病毒一旦执行,常驻内存的蠕虫就会显示一个错误的对话框,它还将拷贝自身存放在Windows目录下,名为INETD.EXE。在WINDOWS SYSTEM目录下创建文件KERN32.EXE和 HKSDLL.DLL,修改注册表信息以便在系统再次启动时装载特洛伊木马。一旦运行,特洛伊木马尝试将被感染者的IP地址发送给病毒的作者,病毒作者获得此信息后,就可以通过Internet连接到被感染的系统,并窃取被害者的个人信息,如用户名和密码。另外,特洛伊木马还会窃取一些其它的重要信息,如信用卡和银行的账号和密码。再次启动Windows后,蠕虫尝试回复Microsoft Outlook文件夹中的未打开邮件,并将其自身作为附件。 行为分析修改注册表 1、添加启动项键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\ 加键:kern32 键值:" kern32.exe" 2、蠕虫将自身复制至系统目录和Windows根目录,以下列名字命名: %System%\\ hksdll.dll ------------为木马文件 %System%\\ kern32.exe------------为木马文件 %Windir%\\ inetd.exe 3、邮件包含以下内容: Take a look to the attachment. 附件的名称是以下之一: Pics.ZIP.scr images.pif README.TXT.pif New_Napster_Site.DOC.scr news_doc.scr hamster.ZIP.scrnews_doc.scr YOU_are_FAT!.TXT.pif searchURL.scr SETUP.pif Card.pif Me_nude.AVI.pifCard.pif Sorry_about_yesterday.DOC.pif s3msong.MP3.pifSorry_about_yesterday.DOC.pif docs.scr Humor.TXT.pif fun.pifHumor.TXT.pif 清除方案1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 (2) 删除病毒文件 %System%\\ hksdll.dll ------------为木马文件 %System%\\ kern32.exe------------为木马文件 %Windir%\\ inetd.exe (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\RunOnce\\ 加键:kern32 键值:" kern32.exe" |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。