• 解决是名称为一个组很小,可下载*公用事业设计用于去除和撤消所作的改变某些病毒、特洛伊木马和蠕虫。

    他们终止任何病毒的流程和重置任何注册键的病毒变化。 现有的感染可以清理迅速和容易,无论是在各个工作站和网络,有很大数量的计算机。

    W32/Badtrans-是蠕虫,它采用书兼蔓延。 蜗达在一个电子邮件以文本"来看看附件的"。

    该附件的文件是随机选择的自下列清单:

    乐趣。太平洋岛屿论坛

    幽默。TXT。太平洋岛屿论坛

    文档。scr

    s3msong的。MP3。太平洋岛屿论坛

    Sorry_about_yesterday的。医生。太平洋岛屿论坛

    Me_nude的。AVI。太平洋岛屿论坛

    卡。太平洋岛屿论坛

    设置。太平洋岛屿论坛

    searchURL的。scr

    YOU_are_FAT的!TXT。太平洋岛屿论坛

    仓鼠。拉链。scr

    news_doc的。scr

    New_Napster_Site的。医生。SCR

    自述。TXT。太平洋岛屿论坛

    图像。太平洋岛屿论坛

    照片。拉链。scr

    如果附加的文件的运行,显示信息"文件数据的损坏很可能由于恶劣的数据传输或坏磁盘的访问。"的 副本本身进Windows目录的文件名INETD.EXE 和变化的胜利。ini,以便运行该文件,在Windows启动。

    当新的信息达蠕虫发送答复的一个受感染的附件。

    蜗也下降的文件kern32.exe,这是一个密码-偷木马,Troj/记录按键-C,成为Windows系统目录并改变登记册的关键

    HKLMSOFTWAREMicrosoftWindows

    CurrentVersionRunOnce使木马会运行至Windows启动。

    W32/Badtrans-B是一个电子邮件-知道蠕虫,它采用书兼蔓延。 蜗转发本身的地址上找到感染的计算机作为电子邮件消息没有信息的文本。

    蜗找到地址发送本身要通过搜索的地址簿。 此外,它的搜索互联网缓和"文件"的文件夹的网页,寻找进一步的电子邮件地址向其发送本身。

    如果蠕虫是作出答复的邮件上找到感染的机器,它将使用被感染的用户的地址从:领域的电子邮件,否则它将使用下列地址:领域:

    "安娜"

    "朱迪"

    "丽塔Tulliani"

    "蒂娜"

    "凯莉*安德森"

    "安迪"

    "琳达"

    "Mon S"

    "乔安娜"

    "杰西卡*贝纳维德斯"

    "管理员"

    "Admin"

    "支持"

    "莫妮卡*普拉多"

    "玛丽*L*亚当斯"

    电子邮件的使用已知利用在某些版本的Outlook表5,以便启动的附加文件。 微软已经释放了一块据报道其地址,这个漏洞。 它是在http://www.microsoft.com/technet/security/bulletin/MS01-027.asp中。

    (这个补丁修复一些漏洞,在微软软件,包括一个利用这个蠕虫.)

    蠕虫产生一个问题线通过阅读的电子邮件上的受感染的机器和"答复"。 例如,

    再:

    电子邮件地址发现了通过网页在互联网高速缓冲或"我的文件"的文件夹,其主旨是简单地"重新:"有没有进一步的文本。

    蜗试图创建一个名称为附加感染的文件的通过随机产生,它由三个独立部分。 第一部分是采取从名单:

    文档

    乐趣

    仓鼠

    NEWS_DOC

    幽默

    图像

    的信息

    ME_NUDE

    New_Napster_Site

    照片

    自述

    S3MSONG

    SEARCHURL

    设置

    Sorry_about_yesterday

    的东西

    YOU_ARE_FAT!

    第二,从名单:

    中。医生。

    中。MP3。

    中。拉链。

    (a bug内蠕虫意味着它永远不会选择"。拉链。"选项)

    和最后的自:

    太平洋岛屿论坛

    scr

    为此原因的附加文件可以被称为一大批不同的名称,其中包括:

    卡。医生。太平洋岛屿论坛

    文档。医生。太平洋岛屿论坛

    乐趣。MP3。太平洋岛屿论坛

    仓鼠。医生。太平洋岛屿论坛

    幽默。MP3。scr

    图像。医生。太平洋岛屿论坛

    Me_nude的。MP3。scr

    New_Napster_Site的。MP3。太平洋岛屿论坛

    照片。医生。scr

    自述。MP3。scr

    S3MSONG的。医生。scr

    SEARCHURL的。MP3。太平洋岛屿论坛

    设置。医生。scr

    Sorry_about_yesterday的。MP3。太平洋岛屿论坛

    Sorry_about_yesterday的。MP3。scr

    东西。MP3。太平洋岛屿论坛

    YOU_ARE_FAT的!医生。太平洋岛屿论坛

    YOU_are_FAT的!MP3。scr

    如果附加的文件的运行,它可以复制本身的窗户或Windows系统目录的文件名kernel32.exe 并改变登记册的关键HKLMSOFTWAREMicrosoftWindowsCurrentversionrunonce这样的蠕虫运行下一次的时间窗口开始。 注意,注册表中的关键将是指原始的附如果蠕虫没有创造一个复制在窗户或Windows系统目录。

    蜗也下降的一个文件命名为kdll.dll,这是Troj/PWS-AV窃取密码的特洛伊木马。

    W32/Badtrans-B使用木马Troj/PWS-AV登录用户是按键在一个文件命名为cp_25389的。塞尔维亚国家图书馆的窗户系统目录。 日志的按键可能是加密的。

    W32/Badtrans-B将试图发送的记录到以下一个电子邮件地址:

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]ballsy.net

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    W32/Badtrans-A和W32/Badtrans-B可以从窗户计算机自动与下解决的工具:

    BADTRGUI是一个消毒剂用于独立的Windows的计算机。 使用它,你必须做到以下几点:

    ■打开BADTRGUI.com 文件从你桌面上之后,下载。

    ■击开始扫描按钮。

    ■等待的过程来完成。

    BADTRSFX.EXE 是自解压的归档含BADTRCLI,解决命令行消毒器上使用的Windows的网络。

    之后去除蠕虫你应该安装微软补MS01-027或者,在单个计算机,更新与所有有关的安全补丁的从窗户更新。

  • को हल करने के लिए नाम है का एक सेट, डाउनलोड Sophos उपयोगिताओं के लिए बनाया गया हटाने और पूर्ववत द्वारा किए गए परिवर्तनों कुछ वायरस, Trojans और कीड़े.

    वे समाप्त कर किसी भी वायरस प्रक्रियाओं और रीसेट किसी भी रजिस्ट्री कुंजियों है कि वायरस को बदल दिया है । मौजूदा संक्रमण साफ किया जा सकता है जल्दी और आसानी से, दोनों पर अलग-अलग कार्यस्थानों और नेटवर्क की बड़ी संख्या के साथ कंप्यूटर.

    W32/Badtrans-एक है एक कीड़ा का उपयोग करता है जो MAPI का प्रसार करने के लिए. कृमि में आता है एक ई-मेल संदेश पाठ के साथ "एक नज़र लेने के लिए लगाव".

    अनुलग्नक फ़ाइल नाम बेतरतीब ढंग से चुना निम्न सूची:

    मज़ा है । pif

    हास्य.TXT.pif

    डॉक्स.scr

    s3msong.एमपी 3 है । pif

    Sorry_about_yesterday.डॉक्टर.pif

    Me_nude.AVI.pif

    कार्ड है.pif

    सेटअप.pif

    searchURL.scr

    YOU_are_FAT!.TXT.pif

    hamster.ज़िप । scr

    news_doc.scr

    New_Napster_Site.डॉक्टर.SCR

    README.TXT.pif

    छवियों.pif

    Pics.ज़िप । scr

    यदि अनुलग्न की गई फ़ाइल चलाने के लिए, यह प्रदर्शित करता है, संदेश "डेटा फ़ाइल भ्रष्ट शायद कारण बुरा करने के लिए डेटा संचरण या बुरा डिस्क का उपयोग करें।", प्रतियां ही में Windows निर्देशिका फ़ाइल नाम के साथ INETD.EXE और परिवर्तन जीतने के लिए । ini इतना है कि फ़ाइल को चलाने पर Windows स्टार्टअप है ।

    जब एक नया संदेश आता है कीड़ा भेजता है एक उत्तर के साथ एक संक्रमित लगाव है ।

    कीड़ा भी बूंदों के एक फ़ाइल kern32.exe है, जो एक पासवर्ड, चोरी, ट्रोजन, Troj/Keylog-सी, खिड़कियों में सिस्टम निर्देशिका और रजिस्ट्री कुंजी परिवर्तन

    HKLMSOFTWAREMicrosoftWindows

    CurrentVersionRunOnce तो यह है कि Trojan चलाता है Windows स्टार्टअप पर.

    W32/Badtrans-बी है एक ईमेल पता कीड़ा का उपयोग करता है जो MAPI का प्रसार करने के लिए. कीड़ा आगे करने के लिए ही पते पर पाया संक्रमित कंप्यूटर के रूप में एक ईमेल संदेश के साथ कोई संदेश पाठ.

    कीड़ा पाता पते को भेजने के लिए खुद के लिए खोज के द्वारा पते की किताब है । इसके अतिरिक्त यह इंटरनेट खोज कैश और "मेरे दस्तावेज़" फ़ोल्डर के लिए वेब पृष्ठों को देख रहे हैं, आगे के लिए ईमेल पते, जो करने के लिए भेजने के लिए ही है ।

    यदि कीड़ा है जवाब करने के लिए मेल पर पाया संक्रमित मशीन, यह जाएगा इस्तेमाल संक्रमित उपयोगकर्ता के पते में से: क्षेत्र के ईमेल, अन्यथा यह एक का उपयोग करें निम्न पतों में से: क्षेत्र:

    "अन्ना"

    "लगा हुआ"

    "रीता Tulliani"

    "टीना"

    "केली एंडरसन"

    "एंडी"

    "लिंडा"

    "सोम S"

    "जोआना"

    "जेसिका BENAVIDES"

    "व्यवस्थापक"

    "Admin"

    "समर्थन"

    "मोनिका Prado"

    "मैरी एल एडम्स"

    ईमेल का उपयोग करता है एक ज्ञात में फायदा उठाने के कुछ संस्करणों Outlook Express 5 में लांच करने के लिए संलग्न फाइल को स्वचालित रूप से । माइक्रोसॉफ्ट के एक पैच जारी किया है, जो कथित तौर पर इस पते जोखिम । यह में उपलब्ध है http://www.microsoft.com/technet/security/bulletin/MS01-027.asp है ।

    (इस पैच फिक्स की एक संख्या में कमजोरियों माइक्रोसॉफ्ट के सॉफ्टवेयर सहित एक द्वारा शोषण इस worm.)

    कृमि उत्पन्न करता है, एक विषय पंक्ति को पढ़ने के द्वारा ईमेल पर संक्रमित मशीन और "जवाब" यह करने के लिए है । उदाहरण के लिए,

    फिर से:

    के लिए ईमेल पते के माध्यम से पाया है, वेब पृष्ठों को इंटरनेट कैश या "मेरे दस्तावेज़" फ़ोल्डर में, विषय पंक्ति है बस "फिर से:" के साथ आगे कोई पाठ है ।

    कीड़ा प्रयास करने के लिए एक नाम बनाने के लिए संलग्न संक्रमित फाइल के द्वारा बेतरतीब ढंग से उत्पन्न करने से यह तीन अलग-अलग भागों में है । पहले भाग से लिया जाता है की सूची:

    कार्ड

    डॉक्स

    मज़ा

    HAMSTER

    NEWS_DOC

    हास्य

    छवियों

    जानकारी

    ME_NUDE

    New_Napster_Site

    PICS

    रीडमी

    S3MSONG

    SEARCHURL

    सेटअप

    Sorry_about_yesterday

    सामान

    YOU_ARE_FAT!

    दूसरी सूची से:

    है । डॉक्टर.

    है । एमपी 3 है ।

    है । ज़िप ।

    (एक बग के अंदर कीड़ा मतलब है कि यह कभी नहीं का चयन करता है ".ज़िप." विकल्प)

    और पिछले से:

    pif

    scr

    इस कारण के लिए संलग्न फाइल में कहा जा सकता है की एक बड़ी संख्या में अलग-अलग नाम, सहित:

    कार्ड है.डॉक्टर.pif

    डॉक्स.डॉक्टर.pif

    मज़ा है । एमपी 3 है । pif

    HAMSTER.डॉक्टर.PIF

    हास्य.एमपी 3 है । scr

    छवियों.डॉक्टर.pif

    Me_nude.एमपी 3 है । scr

    New_Napster_Site.एमपी 3 है । pif

    Pics.डॉक्टर.scr

    README.एमपी 3 है । scr

    S3MSONG.डॉक्टर.scr

    SEARCHURL.एमपी 3 है । pif

    सेटअप.डॉक्टर.scr

    Sorry_about_yesterday.एमपी 3 है । pif

    Sorry_about_yesterday.एमपी 3 है । scr

    सामान.एमपी 3 है । pif

    YOU_ARE_FAT!.डॉक्टर.pif

    YOU_are_FAT!.एमपी 3 है । scr

    यदि अनुलग्न की गई फ़ाइल चलाने के लिए इसे कॉपी कर सकते हैं खुद के लिए Windows या Windows सिस्टम निर्देशिका में फ़ाइल नाम के साथ kernel32.exe और परिवर्तन रजिस्ट्री कुंजी HKLMSOFTWAREMicrosoftWindowsCurrentversionrunonce इतना है कि कीड़ा चलाता है अगली बार जब Windows शुरू कर दिया है । नोट करें कि रजिस्ट्री कुंजी को संदर्भित करेंगे करने के लिए मूल अनुलग्नक अगर कीड़ा नहीं बनाया गया है, एक प्रतिलिपि को Windows या Windows सिस्टम निर्देशिका में.

    कीड़ा भी बूंदों के एक फ़ाइल नाम kdll.dll है, जो Troj/PWS-ए वी पासवर्ड चोरी ट्रोजन घोड़ा है ।

    W32/Badtrans-बी का उपयोग करता है Trojan Troj/PWS-ए वी लॉग इन करने के लिए एक उपयोगकर्ता के कीस्ट्रोक्स नाम की एक फ़ाइल में cp_25389.एनएलएस विंडोज सिस्टम में निर्देशिका. लॉग के कीस्ट्रोक्स एन्क्रिप्ट किया जा सकता है.

    W32/Badtrans-बी का प्रयास करेंगे भेजने के लिए लॉग इन करने के लिए एक निम्न ईमेल पतों पर:

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]bler.ru

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    W32/Badtrans-एक और W32/Badtrans-बी से हटाया जा सकता है Windows कंप्यूटर के साथ स्वचालित रूप से निम्नलिखित को हल उपकरण:

    BADTRGUI एक disinfector के लिए स्टैंडअलोन Windows कंप्यूटर है । यह उपयोग करने के लिए आप निम्न करने के लिए:

    ■ खुला BADTRGUI.com फ़ाइल को अपने डेस्कटॉप से इसे डाउनलोड करने के बाद.

    ■ पर क्लिक करें स्कैन शुरू बटन.

    ■ प्रक्रिया के लिए प्रतीक्षा करें पूरा करने के लिए ।

    BADTRSFX.EXE एक self-extracting संग्रह युक्त BADTRCLI, एक को हल कमांड लाइन disinfector पर उपयोग के लिए Windows नेटवर्क है ।

    हटाने के बाद, तुम चाहिए worm स्थापित Microsoft पैच MS01-027 या, एक कंप्यूटर, अद्यतन के साथ सभी प्रासंगिक सुरक्षा पैच Windows अद्यतन से.

  • Resolve is the name for a set of small, downloadable Sophos utilities designed to remove and undo the changes made by certain viruses, Trojans and worms.

    They terminate any virus processes and reset any registry keys that the virus changed. Existing infections can be cleaned up quickly and easily, both on individual workstations and over networks with large numbers of computers.

    W32/Badtrans-A is a worm which uses MAPI to spread. The worm arrives in an email message with the text "Take a look to the attachment".

    The attachment filename is randomly chosen from the following list:

    fun.pif

    Humor.TXT.pif

    docs.scr

    s3msong.MP3.pif

    Sorry_about_yesterday.DOC.pif

    Me_nude.AVI.pif

    Card.pif

    SETUP.pif

    searchURL.scr

    YOU_are_FAT!.TXT.pif

    hamster.ZIP.scr

    news_doc.scr

    New_Napster_Site.DOC.SCR

    README.TXT.pif

    images.pif

    Pics.ZIP.scr

    If the attached file is run, it displays the message "File data corrupt probably due to bad data transmission or bad disk access.", copies itself into the Windows directory with the filename INETD.EXE and changes win.ini so that the file is run at Windows startup.

    When a new message arrives the worm sends a reply with an infected attachment.

    The worm also drops a file kern32.exe, which is a password-stealing Trojan, Troj/Keylog-C, into the Windows system directory and changes the registry key

    HKLMSOFTWAREMicrosoftWindows

    CurrentVersionRunOnce so that the Trojan runs at Windows startup.

    W32/Badtrans-B is an email-aware worm which uses MAPI to spread. The worm forwards itself to addresses found on the infected computer as an email message with no message text.

    The worm finds addresses to send itself to by searching the address book. Additionally it searches the internet cache and "My Documents" folders for web pages, looking for further email addresses to which to send itself.

    If the worm is replying to mail found on the infected machine, it will use the infected user's address in the From: field of the email, otherwise it will use one of the following addresses in the From: field:

    " Anna"

    "JUDY"

    "Rita Tulliani"

    "Tina"

    "Kelly Andersen"

    " Andy"

    "Linda"

    "Mon S"

    "Joanna"

    "JESSICA BENAVIDES"

    " Administrator"

    " Admin"

    "Support"

    "Monika Prado"

    "Mary L. Adams"

    The email uses a known exploit in certain versions of Outlook Express 5 in order to launch the attached file automatically. Microsoft has released a patch which reportedly addresses this vulnerability. It is available at http://www.microsoft.com/technet/security/bulletin/MS01-027.asp.

    (This patch fixes a number of vulnerabilities in Microsoft's software, including the one exploited by this worm.)

    The worm generates a subject line by reading email on the infected machine and "replying" to it. For instance,

    Re:

    For email addresses found via web pages in the internet cache or the "My Documents" folder, the subject line is simply "Re:" with no further text.

    The worm attempts to create a name for the attached infected file by randomly generating it from three separate parts. The first part is taken from the list:

    CARD

    DOCS

    FUN

    HAMSTER

    NEWS_DOC

    HUMOR

    IMAGES

    info

    ME_NUDE

    New_Napster_Site

    PICS

    README

    S3MSONG

    SEARCHURL

    SETUP

    Sorry_about_yesterday

    stuff

    YOU_ARE_FAT!

    The second from the list:

    .DOC.

    .MP3.

    .ZIP.

    (a bug inside the worm means that it never selects the ".ZIP." option)

    and the last from:

    pif

    scr

    For this reason the attached file can be called a large number of different names, including:

    card.DOC.pif

    docs.DOC.pif

    fun.MP3.pif

    HAMSTER.DOC.PIF

    Humor.MP3.scr

    IMAGES.DOC.pif

    Me_nude.MP3.scr

    New_Napster_Site.MP3.pif

    Pics.DOC.scr

    README.MP3.scr

    S3MSONG.DOC.scr

    SEARCHURL.MP3.pif

    SETUP.DOC.scr

    Sorry_about_yesterday.MP3.pif

    Sorry_about_yesterday.MP3.scr

    stuff.MP3.pif

    YOU_ARE_FAT!.DOC.pif

    YOU_are_FAT!.MP3.scr

    If the attached file is run it may copy itself to the Windows or Windows system directory with the filename kernel32.exe and change the registry key HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce so that the worm runs the next time Windows is started. Note that the registry key will refer to the original attachment if the worm has not created a copy in the Windows or Windows system directories.

    The worm also drops a file named kdll.dll, which is the Troj/PWS-AV password-stealing Trojan horse.

    W32/Badtrans-B uses the Trojan Troj/PWS-AV to log a user's keystrokes in a file named cp_25389.nls in the Windows system directory. The log of keystrokes may be encrypted.

    W32/Badtrans-B will attempt to send the log to one of the following email addresses:

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    [email protected]

    W32/Badtrans-A and W32/Badtrans-B can be removed from Windows computers automatically with the following Resolve tools:

    BADTRGUI is a disinfector for standalone Windows computers. To use it you have to do the following:

    ■ Open BADTRGUI.com file from your desktop after downloading it.

    ■ Click on the Start Scan Button.

    ■ Wait for the process to complete.

    BADTRSFX.EXE is a self-extracting archive containing BADTRCLI, a Resolve command line disinfector for use on Windows networks.

    After removing the worm you should install the Microsoft patch MS01-027 or, on single computers, update with all relevant security patches from Windows update.