Need to know much about badransII virus and how does it work.
Thanks in advance
Email g...@h...com


"Pearl" <p...@p...onet.pl> wrote in message
news:<9u8o9e$kb4$1@news.tpi.pl>...
> "Pituś" <p...@a...waw.pl> w news:9u3pah$15mo$1@pingwin.acn.pl... pisze tak:
> > > Ladny wykladzik tylko ja tez dostalem taka powiastke od serwera
> > >
> > > Sender of the infected attachment: algraf
> > > Subject of the message: Re:
> > > One or more attachments were quarantined.
> > > Attachment README.MP3.scr was Quarantined for the following reasons:
> > > Virus W32.Badtrans.B@mm was found.
>
> Chyba już mam wyjaśnienie. Właśnie przed chwilą otrzymałem wiadomość,
> cytuję:
>
> > W internecie pojawil sie wirus-robak, ktory sam dostalem juz od paru ludzi
> > wiec przesylam info ktore pojawilo sie na stronie www.virus.pl :
> >
> > Baza wirusów - Badtrans.II
> >
> > Również znany jako: Badtrans.B
> > Typ: robak
> > Niszczący dyski: nie
> > Niszczący pliki: nie
> > Efekty wizualne: nie
> > Efekty dźwiękowe: nie
> >
> > BadransII jest robakiem internetowym, którego działanie polega na
> rozsyłaniu
> > własnych kopii za pomocą poczty elektronicznej oraz instalowaniu w
> systemie
> > konia trojańskiego przechwytującego naciśnięcia klawiszy klawiatury.
> >
> > Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu
> > elektronicznego o następujących parametrach:
> >
> >
> > Temat: Re:
> >
> > Treść:
> >
> > Załącznik: [nazwa zgodnie z poniższym schematem]
> >
> > Plik załącznika ma nazwę składającą się z trzech elementów, losowo
> > wybieranych z poniższych list:
> >
> > Element 1:
> >
> > HUMOR
> > DOCS
> > S3MSONG
> > ME_NUDE
> > CARD
> > SEARCHURL
> > YOU_ARE_FAT!
> > NEWS_DOC
> > IMAGES
> > PICS
> > README
> > New_Napster_Site
> > Fun
> > HAMSTER
> > SETUP
> > News_doc
> > Sorry_about_yesterday
> > INFO
> > Stuff
> >
> > Element 2:
> >
> > .DOC
> > .MP3
> > .ZIP
> >
> > Element 3:
> >
> > .pif
> > .scr
> >
> > W rezultacie nazwy załącznika wyglądają podobnie do np. takiej:
> > HUMOR.DOC.scr.
> >
> > Po uruchomieniu pliku załącznika robak tworzy na dysku swoją kopię w pliku
> > c:\windows\system\kernel32.exe oraz tworzy plik c:\windows\system\kdll.dll
> > (pliki te należy usunąć, najprościej wykonać to przy wyłączonych
> > Windows'ach), a także modyfikuje rejestr tak by był uruchamiany przy
> każdym
> > starcie systemu Windows. Modyfikowany rejestr to:
> >
> > HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
> > RunOnce\Kernel32=kernel32.exe
> > Na koniec robak rozsyła swoje kopie do wszystkich adresatów odnalezionych
> w programie pocztowym.
> >
> > Badtrans.II jest wykrywany oprogramowaniem mks_vir z bazą wirusów z dnia
> > 2001-11-26 i nowszymi.