请输入您要查询的百科知识:

 

词条 Email-Worm.Win32.Badtrans.a
释义

基本信息

病毒名称:Email-Worm.Win32.Badtrans.a

病毒类型:邮件蠕虫

危害等级:中

文件长度:13,312 字节

文件MD5:39C85A0D847AA21C7DEDD69DCA7AE9BC

公开范围:完全公开

感染系统:Win9x以上所有版本

开发工具:VC 5.0

加壳类型:UPX

病毒描述

该病毒一旦执行,常驻内存的蠕虫就会显示一个错误的对话框,它还将拷贝自身存放在Windows目录下,名为INETD.EXE。在WINDOWS SYSTEM目录下创建文件KERN32.EXE和 HKSDLL.DLL,修改注册表信息以便在系统再次启动时装载特洛伊木马。一旦运行,特洛伊木马尝试将被感染者的IP地址发送给病毒的作者,病毒作者获得此信息后,就可以通过Internet连接到被感染的系统,并窃取被害者的个人信息,如用户名和密码。另外,特洛伊木马还会窃取一些其它的重要信息,如信用卡和银行的账号和密码。再次启动Windows后,蠕虫尝试回复Microsoft Outlook文件夹中的未打开邮件,并将其自身作为附件。

行为分析

修改注册表

1、添加启动项键值:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\

加键:kern32

键值:" kern32.exe"

2、蠕虫将自身复制至系统目录和Windows根目录,以下列名字命名:

%System%\\ hksdll.dll ------------为木马文件

%System%\\ kern32.exe------------为木马文件

%Windir%\\ inetd.exe

3、邮件包含以下内容:

Take a look to the attachment.

附件的名称是以下之一:

Pics.ZIP.scr

images.pif

README.TXT.pif

New_Napster_Site.DOC.scr

news_doc.scr

hamster.ZIP.scrnews_doc.scr

YOU_are_FAT!.TXT.pif

searchURL.scr

SETUP.pif

Card.pif

Me_nude.AVI.pifCard.pif

Sorry_about_yesterday.DOC.pif

s3msong.MP3.pifSorry_about_yesterday.DOC.pif

docs.scr

Humor.TXT.pif

fun.pifHumor.TXT.pif

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%System%\\ hksdll.dll ------------为木马文件

%System%\\ kern32.exe------------为木马文件

%Windir%\\ inetd.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\RunOnce\\

加键:kern32

键值:" kern32.exe"

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/14 19:06:06