这几天用电脑总觉得不爽,回想前两天收到过一个*.pif的附件。因为是熟人所以没在意就打开了。后发现并没有执行什么，感觉很可疑。SO 用金山毒霸查毒却什么也没查出来（还是刚更新的病毒库）。现在，有时突然运行得很慢。有时却很正常，关机时偶尔出现一个关于OUTLOOK 的运行错误！可我从不用OUTLOOK，我只用FOXMAIL支持国货嘛！！我敢肯定是中标了，有谁知道中的是什么吗？？（摘自本站论坛...）

　　没错，这位老兄确实中了一种叫Badtrans.b的病毒，它是一个通过邮件传播的蠕虫病毒，是Worm.Badtrans.13312的一个变种，长度为29020，金山毒霸现在已经能查杀该病毒，并将该病毒命名为Worm.Badtrans.29020。这种可以自行复制的蠕虫病毒Badtrans.B完全不需要邮件接收者打开邮件附件就自动可执行，利用的同是大家所熟知的Microsoft Outlook 及 Microsoft Outlook Express的IFRAME execcommand漏洞。而且该病毒不仅能通过outlook感染，也可以通过foxmail成功感染。含有该病毒的邮件没有正文。

　　该蠕虫病毒运行时，会将自己拷贝到windows的system目录命名为KERNEL32.EXE，并将它加到注册表HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce中，使自己能在下次windows启动时运行。该蠕虫还会生成一个dll文件：KDLL.DLL。

　　附件文件名是由三部分组成：

　　第一部分：从以下词选择一个，

　　FUN

　　HUMOR

　　DOCS

　　S3MSONG

　　Sorry_about_yesterday

　　ME_NUDE

　　CARD

　　SETUP

　　SEARCHURL

　　YOU_ARE_FAT!

　　HAMSTER NEWS_DOC

　　New_Napster_Site

　　README

　　IMAGES

　　PICS

　　第二部分：从以下词中选择一个，

　　.DOC.

　　.MP3.

　　.ZIP.

　　第三部分：从以下词中选择一个，

　　pif

　　scr

　　例如：病毒的附件名可能为HUMOR.MP3.pif。用户收到这样特征的邮件请马上删除。

　　此病毒具有如下特征：

　　1.伪装成回复的邮件。

　　2.会生成一个DLL文件

　　3.它会记录windows所有的击键记录。

　　4.它会将这些记录（包括您键入的Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码等信息）通过邮件发送到它自带的地址之一。

　　5.将受感染者的IP通过邮件发送给作者。

　　6.在特定时间停止运行。

　　7.使用kernel32作为自己的别名。

　　8.将自己复制到windows的system目录中（win9xMe为 windowssystem，winnt2000中为winntsystem32）。

　　查杀该病毒的软件下载地址：

　　www.iduba.net/download/other/tool_011128_badtrans.htm

　　

　　也可依据下述步骤进行手工清除：

　　1． 打开您的电脑，删掉System目录下的CP_25389.NLS文件；

　　2． 点击“开始”菜单中的“运行”子菜单，键入Regedit命令，然后敲回车键；

　　3． 在打开的注册表编辑中，依照路径HKEY_LOCAL_MACHINE>Software>Microsoft

　　>Windows>CurrentVersion>RunOnce找到RunOnce；

　　4． 点击RunOnce，然后在右边窗口中找到kernel32注册键值；

　　5． 用鼠标选择该注册键值，并将它删除；

　　6． 重启计算机；

　　7． 用金山毒霸对您的系统进行查毒，将所有查到的已感染了Badtrans.B的文件全部删除；

　　至此，Badtrans.B病毒就从您的计算机上消失了！