这是一种 MAPI 蠕虫，它答复电子邮件文件夹中的所有未读邮件，并放入一个特洛伊木马后门来自程序。

• 外文名称 W32.Badtrans.gen@mm
• 发现 2001 年 4 月 11 日
• 更新 2007 年 2 月 13 日 11:38:29 AM
• 类型 Worm

简介

　　别名: W32/Bad来自trans-A [Sophos], W32/Badtrans@MM [McAfee], BadTrans, I-Worm.Badtrans [KAV], WORM_BADTRANS.A [Trend], T360百科ROJ_BADTRANS.A [Trend], Win32.Badtrans.133等罪胶该12 [CA], Pws-AV Trojan, W32.B资由刘器冷欢志及序adtrans.13312@mm, Troj概斤屋你胜脸裂an.Psw.Hooker

　　感染长度: 13,312 bytes

　　受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

　　CVE 参考: CVE-2001-0154

　　由于货末九住被胜提交数量的减少，该蠕虫的威胁级别从 4 降到 3。

　　这是一种 MAPI 蠕虫，它答复电子邮件文件夹中的所有未读邮件，并放入一个特洛伊木马后门程序。

　　注意:2002 年 10 月 22 日之前的黑烟形威了波鱼族担食季病毒定义会将其检测为 W32.Badtrans.13312@mm。

防美学护

　　* 病毒定义(七沉官食一散直事每周 LiveUpdate™) 2001 年 4 月 11 日

　　* 病毒定义(智能更新程序) 2001 年 4 月 11 日

　　威胁评估

　　广伟左和沿度

　　* 广度级别: Low

　　* 感染数量: 50 - 999

　　* 站点数量: More than 10

　　* 地理位置分布: High

　　* 威胁抑制: Easy

　　* 清除: Easy

损坏

　　* 损坏级别: Medium

　　* 大规模酸过载陆当元丝笑复衣往发送电子邮件: It replies to all unread messages in the message folders within the default MAPI email 孔消业却脱志program.

来自　　* 危及安全设置: It drops a backdoor Trojan.

　　分发

　　* 分发级别: High

　　当该蠕虫被执行时，会在 \Windows 文件夹中放入一个特洛伊木马后门程序 Hkk32.exe，并执行该程序。然后它将自身作为 inetd.exe 复制到 \Windows 文件夹中，同时在 Win.ini 文件内加入一个 run= 行，并显示如下错误消息:

　　当计算机下次重新启动时，务与领士己伯各终该蠕虫会等待五分钟，然后使用 M360百科API 查找并答复所有未读的电子邮件消息。此外，该蠕虫还使用下列任一文件名将自身附加部在邮件中:

　　Pics.ZIP.scr

　　images.pif

　　README.TXT.pif

　　New_Napster_Site.DOC.scr

　　news_d七oc.scr

　　hamster.ZIP.scr

　　YOU_are_FAT!.TXT.pif

　　searchURL.scr

　　验胡八于示策意必评城磁SETUP.pif

　　Card.pif

　　Me_停右何祖钱选nude.AVI.pif

　　Sorry_about_yesterday.DOC.pif

　　s3msong.MP3.p程织统次苏if

　　docs.scr

　　划稳坐家编单Humor.TXT.p改if

　　fun.pif

演让观短强路条建议

　　赛门铁克安全响应中心建议所有用户和等管理员遵循以下基本安全"最佳越真也苦活强更把实践":

　　* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少矿死参衡做，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

　　* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请规计禁用或禁止访问这些服务。

　　* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务(例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

　　* 强制执行密码策略单造好正深预溶任重红。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

　　* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

　　* 迅速隔离受感染的流种衡油热选讲油十学计算机，防止其对企业造成罗空件究探究双进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

　　* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

　　由于 W32.Badtrans.gen@mm 对不同操作系统的影响方式不同，因此如何杀除该蠕虫取决于您的操作系统。请按顺序执行下列操作。

杀除蠕虫

　　1. 运行 LiveUpdate，确保您的病毒定义是最新的。

　　2. 启动 Norton AntiVirus (NAV)，然后运行完整的系统扫描，并确保 NAV 设置为扫描所有文件。

　　3. 删除所有被检测为 W32.Badtrans.gen@mm 的文件。下一步操作取决于 NAV 能否删除被检测为受 W32.Badtrans.gen@mm 感染的文件:

　　* 如果 NAV 能够删除被检测为受感染的所有文件，请执行下列操作之一:

　　+ 如果运行的是 Windows 95/98/Me，请跳到"编辑 Win.ini 文件"部分。

　　+ 如果运行的是 Windows NT/2000 并且 NAV 能够删除所有受感染的文件，则操作完成。

　　* 如果 NAV 不能删除被检测为受感染的所有文件，请继续下一部分，并根据您的操作系统参阅相应的指导。

删除 NAV 不能删除的文件

　　如果 NAV 不能删除被检测为受 W32.Badtrans.13312@mm 感染的文件，请根据您的操作系统参阅相应的指导。

　　* Windows 95/98/Me

　　1. 以安全模式重新启动计算机。有关如何以安全模式重新启动计算机的指导，请参阅文档:如何以安全模式重新启动 Windows 9x 或 Windows Me。

　　2. 再次运行扫描，并删除所有被检测为 W32.Badtrans.gen@mm 的文件。

　　3. 扫描完成后，请跳到"编辑 Win.ini 文件"部分。

Windows NT/2000/XP

　　1. 同时按下 Ctrl+Alt+Delete。

　　2. 单击"任务管理器"。

　　3. 单击"进程"选项卡。

　　4. 单击"映像名称"列标题两次，按字母顺序对进程排序。

　　5. 滚动列表并查找 inetd.exe 文件，如果找到该文件，则单击此文件，然后单击"结束进程"。

　　6. 滚动列表并查找 Kern32.exe。如果找到该文件，则单击此文件，然后单击"结束进程"。

　　7. 关闭任务管理器。

　　8. 在 Windows 桌面上用鼠标右键单击"我的电脑"，然后单击"资源管理器"。

　　9. 执行下列操作之一:

　　o 如果运行的是 Windows NT，请单击"查看"菜单，再单击"文件夹选项"。

　　o 如果运行的是 Windows 2000/XP，请单击"工具"菜单，再单击"文件夹选项"。

　　10. 单击"查看"选项卡。

　　11. 执行下列操作之一:

　　o 如果运行的是 Windows NT，请单击"显示所有文件"，并取消选中"隐藏已知文件类型的扩展名"，然后单击"确定"。

　　o 如果运行的是 Windows 2000/XP，请单击"显示所有文件和文件夹"，并取消选中"隐藏已知文件类型的扩展名"。

　　12. 在 Windows 资源管理器的左窗格中，用鼠标右键单击驱动器 C ，然后单击"查找"(Windows NT) 或"搜索"(Windows 2000/XP)。

　　13. 在"名称"或"要查找的文件或文件夹名为"框中，键入(或复制并粘贴)下列文件名:

　　inetd.exe kern32.exe hkk32.exe hksdll.dll

　　14. 单击"开始查找"或"立即搜索"。

　　15. 搜索完成后，记录下所显示文件的名称及位置。

　　16. 单击"编辑"菜单，然后单击"全部选定"。

　　17. 按住 Shift 键，再按 Delete 键。持续按住 Shift 键直到出现删除确认提示。单击"是"。(按住 Shift 键的同时按 Delete 键可不经回收站直接删除文件。)

　　18. 关闭 Windows 资源管理器。

　　19. 继续"编辑注册表"部分。

编辑注册表

　　警告:强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。请只修改指定的键。有关指导，请参阅文档:如何备份 Windows 注册表。

　　1. 单击"开始"，再单击"运行"。"运行"对话框出现。

　　2. 键入 regedit，再单击"确定"。注册表编辑器打开。

　　3. 导航至下列键

　　HKEY_LOCAL_MACHINE\Software\Microsoft\

　　Windows\CurrentVersion\RunOnce

　　4. 在右窗格中，删除下列值

　　Kernel32 KERN32.EXE

　　5. 导航至下列键

　　HKEY_CURRENT_USER\Software\Microsoft\

　　Windows NT\CurrentVersion\Windows

　　6. 在右窗格中，删除下列值

　　run <path>\Inetd.exe

　　7. 退出注册表编辑器。

　　8. 重新启动计算机。

　　9. 再次运行扫描，并删除所有被检测为 W32.Badtrans.13312@mm 的文件。至此，对于 Windows NT/2000 用户而言，杀毒过程完成。

编辑 Win.ini 文件

　　如果运行的是 Windows 95/98/Me，还必须执行下列操作:

　　1. 单击"开始"，再单击"运行"。

　　2. 键入下列内容，然后单击"确定":

　　edit c:\windows\win.ini

　　注意:如果 Windows 安装在其他位置，请用正确的路径替换上面相应的内容。

　　3. 在 [windows] 部分，找到 run= 一行。该行应与下列行类似:

　　run=c:\windows\inetd.exe

　　4. 删除 = 号右侧的文本，使该行如下所示:

　　run=

　　5. 保存更改，然后退出 MS-DOS 编辑器。

　　描述者: Peter Ferrie