BadtransII - robak pocztowy
- Krzysztof Arkuszewski,
- 03.12.2001
BadransII jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz instalowaniu w systemie konia trojańskiego przechwytującego naciśnięcia klawiszy klawiatury.
BadransII jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz instalowaniu w systemie konia trojańskiego przechwytującego naciśnięcia klawiszy klawiatury. Robak zwykle pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
Temat: Re:
Treść:
Załącznik: [nazwa zgodnie z poniższym schematem]
Plik załącznika ma nazwę składającą się z trzech elementów, losowo wybieranych z poniższych list:
<b>Element 1:</b>
HUMOR
DOCS
S3MSONG
ME_NUDE
CARD
SEARCHURL
YOU_ARE_FAT!
NEWS_DOC
IMAGES
PICS
README
New_Napster_Site
Fun
HAMSTER
SETUP
News_doc
Sorry_about_yesterday
INFO
Stuff
<b>Element 2:</b>
.DOC
.MP3
.ZIP
<b>Element 3:</b>
.pif
.scr
W rezultacie nazwy załącznika wyglądają podobnie do np. takiej: HUMOR.DOC.scr.
Po uruchomieniu pliku załącznika robak tworzy na dysku swoją kopię w pliku c:\windows\system\kernel32.exe oraz tworzy plik c:\windows\system\kdll.dll (pliki te należy usunąć), a także modyfikuje rejestr tak by był uruchamiany przy każdym starcie systemu Windows. Modyfikowany rejestr to:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\Kernel32=kernel32.exe
Na koniec robak rozsyła swoje kopie do wszystkich adresatów odnalezionych w programie pocztowym.
Zobacz również: