细说Badtrans.b的技术特征(1)
　 2001-11-29 13:20:01

　　
　　Badtrans.b病毒也是一种通过邮件传播的蠕虫病毒，同时它也是一种特洛伊木马程序，会对您的计算机安全造成威胁。此病毒具有如下特征：

　　1.伪装成回复的邮件。

　　2.会生成一个DLL文件

　　3.它会记录windows所有的击键记录。

　　4.它会将这些记录（包括您键入的密码等信息）通过邮件发送到它自带的地址之一。

　　5.将受感染者的IP通过邮件发送给作者。

　　6.在特定时间停止运行。

　　7.使用kernel32作为自己的别名。

　　8.将自己复制到windows的system目录中（win9xMe为 windowssystem，winnt2000中为winntsystem32）。

　　当该病毒第一次执行时，它会将自己复制到windowssystem目录下面并改名为kernel32.exe，在win9xme下还会将自己注册为服务进程。并且创建一个记录密码等信息的DLL文件Kdll.dll。

　　使用计时器每秒检查一次当前打开的窗口，当发现窗口中的标题前三个字母为下列的一个时

　　LOG

　　PAS

　　REM

　　CON

　　TER

　　NET

　　（这些字母时单词LOGon, PASsword, REMote, CONnection, TERminal, NETwork的开头的三个字母），记录击键的程序就会记录60秒，然后每30秒这些记录和缓冲的密码就会被发送到下列地址之一：

　　ZVDOHYIK@yahoo.com

　　udtzqccc@yahoo.com

　　DTCELACB@yahoo.com

　　I1MCH2TH@yahoo.com

　　WPADJQ12@yahoo.com

　　fjshd@rambler.ru

　　smr@eurosport.com

　　bgnd2@canada.com

　　muwripa@fairesuivre.com

　　rmxqpey@latemodels.com

　　eccles@ballsy.net

　　suck_my_prick@ijustgotfired.com

　　suck_my_prick4@ukr.net

　　thisisno_fucking_good@usa.com

　　S_Mentis@mail-x-change.com

　　YJPFJTGZ@excite.com

　　JGQZCD@excite.com

　　XHZJ3@excite.com

　　OZUNYLRL@excite.com

　　tsnlqd@excite.com

　　cxkawog@krovatka.net

　　ssdn@myrealbox.com

　　再经过20秒，如果设置了适当的控制位病毒会自动关闭。如果该计算机支持RAS加密的话，病毒会等待一个RAS加密的网络连接。当这种连接建立之后，有33％的几率，该病毒会在个人文件夹和IE的缓冲的*.ht* 和 *.asp文件中搜索email地址，找到之后它就会向这些地址发送邮件附件的名字为下列之一：

|下一页||尾　页|