Aug 1st 2008
Resolve for W32/Badtrans 1.04 Crack With Keygen Latest 2024
Download Resolve for W32/Badtrans
-
解决是名称为一个组很小,可下载*公用事业设计用于去除和撤消所作的改变某些病毒、特洛伊木马和蠕虫。
他们终止任何病毒的流程和重置任何注册键的病毒变化。 现有的感染可以清理迅速和容易,无论是在各个工作站和网络,有很大数量的计算机。
W32/Badtrans-是蠕虫,它采用书兼蔓延。 蜗达在一个电子邮件以文本"来看看附件的"。
该附件的文件是随机选择的自下列清单:
乐趣。太平洋岛屿论坛
幽默。TXT。太平洋岛屿论坛
文档。scr
s3msong的。MP3。太平洋岛屿论坛
Sorry_about_yesterday的。医生。太平洋岛屿论坛
Me_nude的。AVI。太平洋岛屿论坛
卡。太平洋岛屿论坛
设置。太平洋岛屿论坛
searchURL的。scr
YOU_are_FAT的!TXT。太平洋岛屿论坛
仓鼠。拉链。scr
news_doc的。scr
New_Napster_Site的。医生。SCR
自述。TXT。太平洋岛屿论坛
图像。太平洋岛屿论坛
照片。拉链。scr
如果附加的文件的运行,显示信息"文件数据的损坏很可能由于恶劣的数据传输或坏磁盘的访问。"的 副本本身进Windows目录的文件名INETD.EXE 和变化的胜利。ini,以便运行该文件,在Windows启动。
当新的信息达蠕虫发送答复的一个受感染的附件。
蜗也下降的文件kern32.exe,这是一个密码-偷木马,Troj/记录按键-C,成为Windows系统目录并改变登记册的关键
HKLMSOFTWAREMicrosoftWindows
CurrentVersionRunOnce使木马会运行至Windows启动。
W32/Badtrans-B是一个电子邮件-知道蠕虫,它采用书兼蔓延。 蜗转发本身的地址上找到感染的计算机作为电子邮件消息没有信息的文本。
蜗找到地址发送本身要通过搜索的地址簿。 此外,它的搜索互联网缓和"文件"的文件夹的网页,寻找进一步的电子邮件地址向其发送本身。
如果蠕虫是作出答复的邮件上找到感染的机器,它将使用被感染的用户的地址从:领域的电子邮件,否则它将使用下列地址:领域:
"安娜"
"朱迪"
"丽塔Tulliani"
"蒂娜"
"凯莉*安德森"
"安迪"
"琳达"
"Mon S"
"乔安娜"
"杰西卡*贝纳维德斯"
"管理员"
"Admin"
"支持"
"莫妮卡*普拉多"
"玛丽*L*亚当斯"
电子邮件的使用已知利用在某些版本的Outlook表5,以便启动的附加文件。 微软已经释放了一块据报道其地址,这个漏洞。 它是在http://www.microsoft.com/technet/security/bulletin/MS01-027.asp中。
(这个补丁修复一些漏洞,在微软软件,包括一个利用这个蠕虫.)
蠕虫产生一个问题线通过阅读的电子邮件上的受感染的机器和"答复"。 例如,
再:
电子邮件地址发现了通过网页在互联网高速缓冲或"我的文件"的文件夹,其主旨是简单地"重新:"有没有进一步的文本。
蜗试图创建一个名称为附加感染的文件的通过随机产生,它由三个独立部分。 第一部分是采取从名单:
卡
文档
乐趣
仓鼠
NEWS_DOC
幽默
图像
的信息
ME_NUDE
New_Napster_Site
照片
自述
S3MSONG
SEARCHURL
设置
Sorry_about_yesterday
的东西
YOU_ARE_FAT!
第二,从名单:
中。医生。
中。MP3。
中。拉链。
(a bug内蠕虫意味着它永远不会选择"。拉链。"选项)
和最后的自:
太平洋岛屿论坛
scr
为此原因的附加文件可以被称为一大批不同的名称,其中包括:
卡。医生。太平洋岛屿论坛
文档。医生。太平洋岛屿论坛
乐趣。MP3。太平洋岛屿论坛
仓鼠。医生。太平洋岛屿论坛
幽默。MP3。scr
图像。医生。太平洋岛屿论坛
Me_nude的。MP3。scr
New_Napster_Site的。MP3。太平洋岛屿论坛
照片。医生。scr
自述。MP3。scr
S3MSONG的。医生。scr
SEARCHURL的。MP3。太平洋岛屿论坛
设置。医生。scr
Sorry_about_yesterday的。MP3。太平洋岛屿论坛
Sorry_about_yesterday的。MP3。scr
东西。MP3。太平洋岛屿论坛
YOU_ARE_FAT的!医生。太平洋岛屿论坛
YOU_are_FAT的!MP3。scr
如果附加的文件的运行,它可以复制本身的窗户或Windows系统目录的文件名kernel32.exe 并改变登记册的关键HKLMSOFTWAREMicrosoftWindowsCurrentversionrunonce这样的蠕虫运行下一次的时间窗口开始。 注意,注册表中的关键将是指原始的附如果蠕虫没有创造一个复制在窗户或Windows系统目录。
蜗也下降的一个文件命名为kdll.dll,这是Troj/PWS-AV窃取密码的特洛伊木马。
W32/Badtrans-B使用木马Troj/PWS-AV登录用户是按键在一个文件命名为cp_25389的。塞尔维亚国家图书馆的窗户系统目录。 日志的按键可能是加密的。
W32/Badtrans-B将试图发送的记录到以下一个电子邮件地址:
W32/Badtrans-A和W32/Badtrans-B可以从窗户计算机自动与下解决的工具:
BADTRGUI是一个消毒剂用于独立的Windows的计算机。 使用它,你必须做到以下几点:
■打开BADTRGUI.com 文件从你桌面上之后,下载。
■击开始扫描按钮。
■等待的过程来完成。
BADTRSFX.EXE 是自解压的归档含BADTRCLI,解决命令行消毒器上使用的Windows的网络。
之后去除蠕虫你应该安装微软补MS01-027或者,在单个计算机,更新与所有有关的安全补丁的从窗户更新。
-
को हल करने के लिए नाम है का एक सेट, डाउनलोड Sophos उपयोगिताओं के लिए बनाया गया हटाने और पूर्ववत द्वारा किए गए परिवर्तनों कुछ वायरस, Trojans और कीड़े.
वे समाप्त कर किसी भी वायरस प्रक्रियाओं और रीसेट किसी भी रजिस्ट्री कुंजियों है कि वायरस को बदल दिया है । मौजूदा संक्रमण साफ किया जा सकता है जल्दी और आसानी से, दोनों पर अलग-अलग कार्यस्थानों और नेटवर्क की बड़ी संख्या के साथ कंप्यूटर.
W32/Badtrans-एक है एक कीड़ा का उपयोग करता है जो MAPI का प्रसार करने के लिए. कृमि में आता है एक ई-मेल संदेश पाठ के साथ "एक नज़र लेने के लिए लगाव".
अनुलग्नक फ़ाइल नाम बेतरतीब ढंग से चुना निम्न सूची:
मज़ा है । pif
हास्य.TXT.pif
डॉक्स.scr
s3msong.एमपी 3 है । pif
Sorry_about_yesterday.डॉक्टर.pif
Me_nude.AVI.pif
कार्ड है.pif
सेटअप.pif
searchURL.scr
YOU_are_FAT!.TXT.pif
hamster.ज़िप । scr
news_doc.scr
New_Napster_Site.डॉक्टर.SCR
README.TXT.pif
छवियों.pif
Pics.ज़िप । scr
यदि अनुलग्न की गई फ़ाइल चलाने के लिए, यह प्रदर्शित करता है, संदेश "डेटा फ़ाइल भ्रष्ट शायद कारण बुरा करने के लिए डेटा संचरण या बुरा डिस्क का उपयोग करें।", प्रतियां ही में Windows निर्देशिका फ़ाइल नाम के साथ INETD.EXE और परिवर्तन जीतने के लिए । ini इतना है कि फ़ाइल को चलाने पर Windows स्टार्टअप है ।
जब एक नया संदेश आता है कीड़ा भेजता है एक उत्तर के साथ एक संक्रमित लगाव है ।
कीड़ा भी बूंदों के एक फ़ाइल kern32.exe है, जो एक पासवर्ड, चोरी, ट्रोजन, Troj/Keylog-सी, खिड़कियों में सिस्टम निर्देशिका और रजिस्ट्री कुंजी परिवर्तन
HKLMSOFTWAREMicrosoftWindows
CurrentVersionRunOnce तो यह है कि Trojan चलाता है Windows स्टार्टअप पर.
W32/Badtrans-बी है एक ईमेल पता कीड़ा का उपयोग करता है जो MAPI का प्रसार करने के लिए. कीड़ा आगे करने के लिए ही पते पर पाया संक्रमित कंप्यूटर के रूप में एक ईमेल संदेश के साथ कोई संदेश पाठ.
कीड़ा पाता पते को भेजने के लिए खुद के लिए खोज के द्वारा पते की किताब है । इसके अतिरिक्त यह इंटरनेट खोज कैश और "मेरे दस्तावेज़" फ़ोल्डर के लिए वेब पृष्ठों को देख रहे हैं, आगे के लिए ईमेल पते, जो करने के लिए भेजने के लिए ही है ।
यदि कीड़ा है जवाब करने के लिए मेल पर पाया संक्रमित मशीन, यह जाएगा इस्तेमाल संक्रमित उपयोगकर्ता के पते में से: क्षेत्र के ईमेल, अन्यथा यह एक का उपयोग करें निम्न पतों में से: क्षेत्र:
"अन्ना"
"लगा हुआ"
"रीता Tulliani"
"टीना"
"केली एंडरसन"
"एंडी"
"लिंडा"
"सोम S"
"जोआना"
"जेसिका BENAVIDES"
"व्यवस्थापक"
"Admin"
"समर्थन"
"मोनिका Prado"
"मैरी एल एडम्स"
ईमेल का उपयोग करता है एक ज्ञात में फायदा उठाने के कुछ संस्करणों Outlook Express 5 में लांच करने के लिए संलग्न फाइल को स्वचालित रूप से । माइक्रोसॉफ्ट के एक पैच जारी किया है, जो कथित तौर पर इस पते जोखिम । यह में उपलब्ध है http://www.microsoft.com/technet/security/bulletin/MS01-027.asp है ।
(इस पैच फिक्स की एक संख्या में कमजोरियों माइक्रोसॉफ्ट के सॉफ्टवेयर सहित एक द्वारा शोषण इस worm.)
कृमि उत्पन्न करता है, एक विषय पंक्ति को पढ़ने के द्वारा ईमेल पर संक्रमित मशीन और "जवाब" यह करने के लिए है । उदाहरण के लिए,
फिर से:
के लिए ईमेल पते के माध्यम से पाया है, वेब पृष्ठों को इंटरनेट कैश या "मेरे दस्तावेज़" फ़ोल्डर में, विषय पंक्ति है बस "फिर से:" के साथ आगे कोई पाठ है ।
कीड़ा प्रयास करने के लिए एक नाम बनाने के लिए संलग्न संक्रमित फाइल के द्वारा बेतरतीब ढंग से उत्पन्न करने से यह तीन अलग-अलग भागों में है । पहले भाग से लिया जाता है की सूची:
कार्ड
डॉक्स
मज़ा
HAMSTER
NEWS_DOC
हास्य
छवियों
जानकारी
ME_NUDE
New_Napster_Site
PICS
रीडमी
S3MSONG
SEARCHURL
सेटअप
Sorry_about_yesterday
सामान
YOU_ARE_FAT!
दूसरी सूची से:
है । डॉक्टर.
है । एमपी 3 है ।
है । ज़िप ।
(एक बग के अंदर कीड़ा मतलब है कि यह कभी नहीं का चयन करता है ".ज़िप." विकल्प)
और पिछले से:
pif
scr
इस कारण के लिए संलग्न फाइल में कहा जा सकता है की एक बड़ी संख्या में अलग-अलग नाम, सहित:
कार्ड है.डॉक्टर.pif
डॉक्स.डॉक्टर.pif
मज़ा है । एमपी 3 है । pif
HAMSTER.डॉक्टर.PIF
हास्य.एमपी 3 है । scr
छवियों.डॉक्टर.pif
Me_nude.एमपी 3 है । scr
New_Napster_Site.एमपी 3 है । pif
Pics.डॉक्टर.scr
README.एमपी 3 है । scr
S3MSONG.डॉक्टर.scr
SEARCHURL.एमपी 3 है । pif
सेटअप.डॉक्टर.scr
Sorry_about_yesterday.एमपी 3 है । pif
Sorry_about_yesterday.एमपी 3 है । scr
सामान.एमपी 3 है । pif
YOU_ARE_FAT!.डॉक्टर.pif
YOU_are_FAT!.एमपी 3 है । scr
यदि अनुलग्न की गई फ़ाइल चलाने के लिए इसे कॉपी कर सकते हैं खुद के लिए Windows या Windows सिस्टम निर्देशिका में फ़ाइल नाम के साथ kernel32.exe और परिवर्तन रजिस्ट्री कुंजी HKLMSOFTWAREMicrosoftWindowsCurrentversionrunonce इतना है कि कीड़ा चलाता है अगली बार जब Windows शुरू कर दिया है । नोट करें कि रजिस्ट्री कुंजी को संदर्भित करेंगे करने के लिए मूल अनुलग्नक अगर कीड़ा नहीं बनाया गया है, एक प्रतिलिपि को Windows या Windows सिस्टम निर्देशिका में.
कीड़ा भी बूंदों के एक फ़ाइल नाम kdll.dll है, जो Troj/PWS-ए वी पासवर्ड चोरी ट्रोजन घोड़ा है ।
W32/Badtrans-बी का उपयोग करता है Trojan Troj/PWS-ए वी लॉग इन करने के लिए एक उपयोगकर्ता के कीस्ट्रोक्स नाम की एक फ़ाइल में cp_25389.एनएलएस विंडोज सिस्टम में निर्देशिका. लॉग के कीस्ट्रोक्स एन्क्रिप्ट किया जा सकता है.
W32/Badtrans-बी का प्रयास करेंगे भेजने के लिए लॉग इन करने के लिए एक निम्न ईमेल पतों पर:
W32/Badtrans-एक और W32/Badtrans-बी से हटाया जा सकता है Windows कंप्यूटर के साथ स्वचालित रूप से निम्नलिखित को हल उपकरण:
BADTRGUI एक disinfector के लिए स्टैंडअलोन Windows कंप्यूटर है । यह उपयोग करने के लिए आप निम्न करने के लिए:
■ खुला BADTRGUI.com फ़ाइल को अपने डेस्कटॉप से इसे डाउनलोड करने के बाद.
■ पर क्लिक करें स्कैन शुरू बटन.
■ प्रक्रिया के लिए प्रतीक्षा करें पूरा करने के लिए ।
BADTRSFX.EXE एक self-extracting संग्रह युक्त BADTRCLI, एक को हल कमांड लाइन disinfector पर उपयोग के लिए Windows नेटवर्क है ।
हटाने के बाद, तुम चाहिए worm स्थापित Microsoft पैच MS01-027 या, एक कंप्यूटर, अद्यतन के साथ सभी प्रासंगिक सुरक्षा पैच Windows अद्यतन से.
-
Resolve is the name for a set of small, downloadable Sophos utilities designed to remove and undo the changes made by certain viruses, Trojans and worms.
They terminate any virus processes and reset any registry keys that the virus changed. Existing infections can be cleaned up quickly and easily, both on individual workstations and over networks with large numbers of computers.
W32/Badtrans-A is a worm which uses MAPI to spread. The worm arrives in an email message with the text "Take a look to the attachment".
The attachment filename is randomly chosen from the following list:
fun.pif
Humor.TXT.pif
docs.scr
s3msong.MP3.pif
Sorry_about_yesterday.DOC.pif
Me_nude.AVI.pif
Card.pif
SETUP.pif
searchURL.scr
YOU_are_FAT!.TXT.pif
hamster.ZIP.scr
news_doc.scr
New_Napster_Site.DOC.SCR
README.TXT.pif
images.pif
Pics.ZIP.scr
If the attached file is run, it displays the message "File data corrupt probably due to bad data transmission or bad disk access.", copies itself into the Windows directory with the filename INETD.EXE and changes win.ini so that the file is run at Windows startup.
When a new message arrives the worm sends a reply with an infected attachment.
The worm also drops a file kern32.exe, which is a password-stealing Trojan, Troj/Keylog-C, into the Windows system directory and changes the registry key
HKLMSOFTWAREMicrosoftWindows
CurrentVersionRunOnce so that the Trojan runs at Windows startup.
W32/Badtrans-B is an email-aware worm which uses MAPI to spread. The worm forwards itself to addresses found on the infected computer as an email message with no message text.
The worm finds addresses to send itself to by searching the address book. Additionally it searches the internet cache and "My Documents" folders for web pages, looking for further email addresses to which to send itself.
If the worm is replying to mail found on the infected machine, it will use the infected user's address in the From: field of the email, otherwise it will use one of the following addresses in the From: field:
" Anna"
"JUDY"
"Rita Tulliani"
"Tina"
"Kelly Andersen"
" Andy"
"Linda"
"Mon S"
"Joanna"
"JESSICA BENAVIDES"
" Administrator"
" Admin"
"Support"
"Monika Prado"
"Mary L. Adams"
The email uses a known exploit in certain versions of Outlook Express 5 in order to launch the attached file automatically. Microsoft has released a patch which reportedly addresses this vulnerability. It is available at http://www.microsoft.com/technet/security/bulletin/MS01-027.asp.
(This patch fixes a number of vulnerabilities in Microsoft's software, including the one exploited by this worm.)
The worm generates a subject line by reading email on the infected machine and "replying" to it. For instance,
Re:
For email addresses found via web pages in the internet cache or the "My Documents" folder, the subject line is simply "Re:" with no further text.
The worm attempts to create a name for the attached infected file by randomly generating it from three separate parts. The first part is taken from the list:
CARD
DOCS
FUN
HAMSTER
NEWS_DOC
HUMOR
IMAGES
info
ME_NUDE
New_Napster_Site
PICS
README
S3MSONG
SEARCHURL
SETUP
Sorry_about_yesterday
stuff
YOU_ARE_FAT!
The second from the list:
.DOC.
.MP3.
.ZIP.
(a bug inside the worm means that it never selects the ".ZIP." option)
and the last from:
pif
scr
For this reason the attached file can be called a large number of different names, including:
card.DOC.pif
docs.DOC.pif
fun.MP3.pif
HAMSTER.DOC.PIF
Humor.MP3.scr
IMAGES.DOC.pif
Me_nude.MP3.scr
New_Napster_Site.MP3.pif
Pics.DOC.scr
README.MP3.scr
S3MSONG.DOC.scr
SEARCHURL.MP3.pif
SETUP.DOC.scr
Sorry_about_yesterday.MP3.pif
Sorry_about_yesterday.MP3.scr
stuff.MP3.pif
YOU_ARE_FAT!.DOC.pif
YOU_are_FAT!.MP3.scr
If the attached file is run it may copy itself to the Windows or Windows system directory with the filename kernel32.exe and change the registry key HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce so that the worm runs the next time Windows is started. Note that the registry key will refer to the original attachment if the worm has not created a copy in the Windows or Windows system directories.
The worm also drops a file named kdll.dll, which is the Troj/PWS-AV password-stealing Trojan horse.
W32/Badtrans-B uses the Trojan Troj/PWS-AV to log a user's keystrokes in a file named cp_25389.nls in the Windows system directory. The log of keystrokes may be encrypted.
W32/Badtrans-B will attempt to send the log to one of the following email addresses:
W32/Badtrans-A and W32/Badtrans-B can be removed from Windows computers automatically with the following Resolve tools:
BADTRGUI is a disinfector for standalone Windows computers. To use it you have to do the following:
■ Open BADTRGUI.com file from your desktop after downloading it.
■ Click on the Start Scan Button.
■ Wait for the process to complete.
BADTRSFX.EXE is a self-extracting archive containing BADTRCLI, a Resolve command line disinfector for use on Windows networks.
After removing the worm you should install the Microsoft patch MS01-027 or, on single computers, update with all relevant security patches from Windows update.
Leave a reply
Your email will not be published. Required fields are marked as *
