细说Badtrans.b的技术特征(2)
　 2001-11-29 13:20:01

　　

　　Pics

　　images

　　README

　　New_Napster_Site

　　news_doc

　　HAMSTER

　　YOU_are_FAT!

　　stuff

　　SETUP

　　Card

　　Me_nude

　　Sorry_about_yesterday

　　info

　　docs

　　Humor

　　fun

　　该病毒还会使MAPI找到未阅读的邮件来回复，邮件的主题就会是“Re：”附件的名称会为下列之一：

　　PICS

　　IMAGES

　　README

　　New_Napster_Site

　　NEWS_DOC

　　HAMSTER

　　YOU_ARE_FAT!

　　SEARCHURL

　　SETUP

　　CARD

　　ME_NUDE

　　Sorry_about_yesterday

　　S3MSONG

　　DOCS

　　HUMOR

　　FUN

　　所有情况下，该病毒都会有两个扩展名，第一部分为下列之一：

　　.doc

　　.mp3

　　.zip

　　第二部分为：

　　.pif

　　.scr

　　例如：病毒的附件名可能为CARD.Doc.pif。

　　该病毒会使用被感染的计算机上可用的SMTP信息作为邮件的From信息，如果没有将会使用下列之一：

　　"Mary L. Adams"

　　"Monika Prado"

　　"Support"

　　" Admin"

　　" Administrator"

　　"JESSICA BENAVIDES"

　　"Joanna"

　　"Mon S"

　　"Linda"

　　" Andy"

　　"Kelly Andersen"

　　"Tina"

　　"Rita Tulliani"

　　"JUDY"

　　" Anna"

　　邮件使用了MicroSoft Outlook的一个自动运行MIME邮件附件的功能。关于这个漏洞详细情况请参见：

　　www.microsoft.com/technet/security/bulletin/MS01-020.asp

　　另外该病毒还将发送过的email地址写入windowssystem下面的Protocol.dll文件以防止向一个人发送多封邮件。然后将Kernel32kernel32.exe加到注册表HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce中，使自己能在下次windows启动时运行。


　　(金山反病毒资讯网)

|首　页||上一页|