荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (I wait for you), 信区: Virus
标 题: 细说Badtrans.b的技术特征
发信站: 荔园晨风BBS站 (Thu Nov 29 19:00:35 2001), 站内信件
Badtrans.b病毒也是一种通过邮件传播的蠕虫病毒,同时它也是一种特洛伊木
马程序,会对您的计算机安全造成威胁。此病毒具有如下特征:
1.伪装成回复的邮件。
2.会生成一个DLL文件
3.它会记录windows所有的击键记录。
4.它会将这些记录(包括您键入的密码等信息)通过邮件发送到它自带的地址
之一。
5.将受感染者的IP通过邮件发送给作者。
6.在特定时间停止运行。
7.使用kernel32作为自己的别名。
8.将自己复制到windows的system目录中(win9x\Me为 windows\system,
winnt\2000中为winnt\system32)。
当该病毒第一次执行时,它会将自己复制到windows\system目录下面并改名为
kernel32.exe,在win9x\me下还会将自己注册为服务进程。并且创建一个记录密码
等信息的DLL文件Kdll.dll。
使用计时器每秒检查一次当前打开的窗口,当发现窗口中的标题前三个字母为
下列的一个时
LOG
PAS
REM
CON
TER
NET
(这些字母时单词LOGon, PASsword, REMote, CONnection, TERminal,
NETwork的开头的三个字母),记录击键的程序就会记录60秒,然后每30秒这些记
录和缓冲的密码就会被发送到下列地址之一:
ZVDOHYIK@yahoo.com
udtzqccc@yahoo.com
DTCELACB@yahoo.com
I1MCH2TH@yahoo.com
WPADJQ12@yahoo.com
fjshd@rambler.ru
smr@eurosport.com
bgnd2@canada.com
muwripa@fairesuivre.com
rmxqpey@latemodels.com
eccles@ballsy.net
suck_my_prick@ijustgotfired.com
suck_my_prick4@ukr.net
thisisno_fucking_good@usa.com
S_Mentis@mail-x-change.com
YJPFJTGZ@excite.com
JGQZCD@excite.com
XHZJ3@excite.com
OZUNYLRL@excite.com
tsnlqd@excite.com
cxkawog@krovatka.net
ssdn@myrealbox.com
再经过20秒,如果设置了适当的控制位病毒会自动关闭。如果该计算机支持
RAS加密的话,病毒会等待一个RAS加密的网络连接。当这种连接建立之后,有33%
的几率,该病毒会在个人文件夹和IE的缓冲的*.ht* 和 *.asp文件中搜索email地
址,找到之后它就会向这些地址发送邮件附件的名字为下列之一:
Pics
images
README
New_Napster_Site
news_doc
HAMSTER
YOU_are_FAT!
stuff
SETUP
Card
Me_nude
Sorry_about_yesterday
info
docs
Humor
fun
该病毒还会使MAPI找到未阅读的邮件来回复,邮件的主题就会是“Re:”附件
的名称会为下列之一:
PICS
IMAGES
README
New_Napster_Site
NEWS_DOC
HAMSTER
YOU_ARE_FAT!
SEARCHURL
SETUP
CARD
ME_NUDE
Sorry_about_yesterday
S3MSONG
DOCS
HUMOR
FUN
所有情况下,该病毒都会有两个扩展名,第一部分为下列之一:
.doc
.mp3
.zip
第二部分为:
.pif
.scr
例如:病毒的附件名可能为CARD.Doc.pif。
该病毒会使用被感染的计算机上可用的SMTP信息作为邮件的From信息,如果没
有将会使用下列之一:
"Mary L. Adams" <mary@c-com.net>
"Monika Prado" <monika@telia.com>
"Support" <support@cyberramp.net>
" Admin" <admin@gte.net>
" Administrator" <administrator@border.net>
"JESSICA BENAVIDES" <jessica@aol.com>
"Joanna" <joanna@mail.utexas.edu>
"Mon S" <spiderroll@hotmail.com>
"Linda" <lgonzal@hotmail.com>
" Andy" <andy@hweb-media.com>
"Kelly Andersen" <Gravity49@aol.com>
"Tina" <tina0828@yahoo.com>
"Rita Tulliani" <powerpuff@videotron.ca>
"JUDY" <JUJUB271@AOL.COM>
" Anna" <aizzo@home.com>
邮件使用了MicroSoft Outlook的一个自动运行MIME邮件附件的功能。关于这
个漏洞详细情况请参见:
www.microsoft.com/technet/security/bulletin/MS01-020.asp
另外该病毒还将发送过的email地址写入windows\system下面的Protocol.dll
文件以防止向一个人发送多封邮件。然后将Kernel32kernel32.exe加到注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中,使自己能在下次
windows启动时运行。
--
OICQ:28174835 ┏┷┓ ┏┷┓
┏┷┓ ─────┨1┠┏┷┓ ● ○ ┏┷┓┫L┠──
┏┷┓ ┨0┠┏┷┓ ┗┯┛┨4┠─ /■\/▲\ ─┨I┠┗┯┛
─┨5┠┏┷┓┗┯┛┨1┠┏┷┓ ┗┯┛ /\ /\ ┗┯┛ ┏┷┓
┗┯┛┨2┠─ ┗┯┛┨3┠── ─┨U┠
┗┯┛ ┗┯┛ ┗┯┛
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店