荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: xhjx (I wait for you), 信区: Virus
标  题: 细说Badtrans.b的技术特征
发信站: 荔园晨风BBS站 (Thu Nov 29 19:00:35 2001), 站内信件

  Badtrans.b病毒也是一种通过邮件传播的蠕虫病毒,同时它也是一种特洛伊木
马程序,会对您的计算机安全造成威胁。此病毒具有如下特征:

  1.伪装成回复的邮件。

  2.会生成一个DLL文件

  3.它会记录windows所有的击键记录。

  4.它会将这些记录(包括您键入的密码等信息)通过邮件发送到它自带的地址
之一。

  5.将受感染者的IP通过邮件发送给作者。

  6.在特定时间停止运行。

  7.使用kernel32作为自己的别名。

  8.将自己复制到windows的system目录中(win9x\Me为 windows\system,
winnt\2000中为winnt\system32)。

  当该病毒第一次执行时,它会将自己复制到windows\system目录下面并改名为
kernel32.exe,在win9x\me下还会将自己注册为服务进程。并且创建一个记录密码
等信息的DLL文件Kdll.dll。

  使用计时器每秒检查一次当前打开的窗口,当发现窗口中的标题前三个字母为
下列的一个时

  LOG

  PAS

  REM

  CON

  TER

  NET

  (这些字母时单词LOGon, PASsword, REMote, CONnection, TERminal,
NETwork的开头的三个字母),记录击键的程序就会记录60秒,然后每30秒这些记
录和缓冲的密码就会被发送到下列地址之一:

  ZVDOHYIK@yahoo.com

  udtzqccc@yahoo.com

  DTCELACB@yahoo.com

  I1MCH2TH@yahoo.com

  WPADJQ12@yahoo.com

  fjshd@rambler.ru

  smr@eurosport.com

  bgnd2@canada.com

  muwripa@fairesuivre.com

  rmxqpey@latemodels.com

  eccles@ballsy.net

  suck_my_prick@ijustgotfired.com

  suck_my_prick4@ukr.net

  thisisno_fucking_good@usa.com

  S_Mentis@mail-x-change.com

  YJPFJTGZ@excite.com

  JGQZCD@excite.com

  XHZJ3@excite.com

  OZUNYLRL@excite.com

  tsnlqd@excite.com

  cxkawog@krovatka.net

  ssdn@myrealbox.com

  再经过20秒,如果设置了适当的控制位病毒会自动关闭。如果该计算机支持
RAS加密的话,病毒会等待一个RAS加密的网络连接。当这种连接建立之后,有33%
的几率,该病毒会在个人文件夹和IE的缓冲的*.ht* 和 *.asp文件中搜索email地
址,找到之后它就会向这些地址发送邮件附件的名字为下列之一:

  Pics

  images

  README

  New_Napster_Site

  news_doc

  HAMSTER

  YOU_are_FAT!

  stuff

  SETUP

  Card

  Me_nude

  Sorry_about_yesterday

  info

  docs

  Humor

  fun

  该病毒还会使MAPI找到未阅读的邮件来回复,邮件的主题就会是“Re:”附件
的名称会为下列之一:

  PICS

  IMAGES

  README

  New_Napster_Site

  NEWS_DOC

  HAMSTER

  YOU_ARE_FAT!

  SEARCHURL


  SETUP

  CARD

  ME_NUDE

  Sorry_about_yesterday

  S3MSONG

  DOCS

  HUMOR

  FUN

  所有情况下,该病毒都会有两个扩展名,第一部分为下列之一:

  .doc

  .mp3

  .zip

  第二部分为:

  .pif

  .scr

  例如:病毒的附件名可能为CARD.Doc.pif。

  该病毒会使用被感染的计算机上可用的SMTP信息作为邮件的From信息,如果没
有将会使用下列之一:

  "Mary L. Adams" <mary@c-com.net>

  "Monika Prado" <monika@telia.com>

  "Support" <support@cyberramp.net>

  " Admin" <admin@gte.net>

  " Administrator" <administrator@border.net>

  "JESSICA BENAVIDES" <jessica@aol.com>

  "Joanna" <joanna@mail.utexas.edu>

  "Mon S" <spiderroll@hotmail.com>

  "Linda" <lgonzal@hotmail.com>

  " Andy" <andy@hweb-media.com>

  "Kelly Andersen" <Gravity49@aol.com>

  "Tina" <tina0828@yahoo.com>

  "Rita Tulliani" <powerpuff@videotron.ca>

  "JUDY" <JUJUB271@AOL.COM>

  " Anna" <aizzo@home.com>

  邮件使用了MicroSoft Outlook的一个自动运行MIME邮件附件的功能。关于这
个漏洞详细情况请参见:

  www.microsoft.com/technet/security/bulletin/MS01-020.asp

  另外该病毒还将发送过的email地址写入windows\system下面的Protocol.dll
文件以防止向一个人发送多封邮件。然后将Kernel32kernel32.exe加到注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中,使自己能在下次
windows启动时运行。



--
   OICQ:28174835                ┏┷┓                          ┏┷┓
              ┏┷┓  ─────┨1┠┏┷┓    ●  ○    ┏┷┓┫L┠──
  ┏┷┓      ┨0┠┏┷┓      ┗┯┛┨4┠─ /■\/▲\ ─┨I┠┗┯┛
─┨5┠┏┷┓┗┯┛┨1┠┏┷┓      ┗┯┛    /\  /\    ┗┯┛  ┏┷┓
  ┗┯┛┨2┠─    ┗┯┛┨3┠──                            ─┨U┠
        ┗┯┛            ┗┯┛                                  ┗┯┛

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店