中华网校

系列网站: 中华网校 | www.网校.com | 3D模型 | 中华网校教育

电脑网校 | 业界新闻 | 职业网校 | 网校宝典 | 软件下载 | 网校论坛 | 网校联盟

电脑入门 | 网页设计 | 网络编程 | 图形图象 | 三维空间 | 多媒体 | 程序语言 | 操作系统 | 系统专题 | 办公应用 | 软件宝典 | 硬件天下 | 

 

您的位置:首页 >> 系统专题 >> 病毒防治 >> 新闻正文

求职信变种家族完全档案  

作者:  时间:2002-5-8  来自:  责任编辑:  阅读次数:

除去去年8月的求职信病毒外,至今为止求职信的变种已有6个之多,分别为(括号中为AVP命名规则)
Worm.WantJob.61440(I-Worm.Klez.A)
Worm.WantJob.57345(I-Worm.Klez.B)
Worm.WantJob.57344(I-Worm.Klez.C)
Worm.WantJob.65536(I-Worm.Klez.D)
Worm.WantJob.73744(I-Worm.Klez.E)
Worm.WantJob.81936(I-Worm.Klez.H)

插入体有两种:
Win32.WantJob.3326(Win32.Klez)
Win32.Foroux.A(Win32.Elkern.C)

整个“求职信家族”都是经由因特网传播感染电子邮件系统的蠕虫病毒。蠕虫自己是一个 大约57-80KB(取决于它的版本)的Windows PE.EXE文件,他用Microsoft Visual C++写成 。

插入体为求职信释放出来的一个感染PE文件的病毒,病毒体长度为3~4K,为汇编语言编写。

感染的邮件有变化的主题和附件名称 。该病毒利用了IE安全系统中的弱点(the IFRAME vulnerability),试图在你打开甚至是预览消息时自动执行。

除了在本地的局域网络和通过电子邮件传传播,蠕虫还可以以“K”开头的一个随机的名字创建一个Windows可执行文件(如:KB180.exe)。病毒在所有可用的计算机磁盘上感染 大多数Win32 PE EXE文件。

启动

当一个被感染的文件启动时,蠕虫拷贝自己到Windows系统文件夹并命名为krn132.exe。然后写入下面的注册表项目:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Krn132 = %System%\Krn132.exe(%System%是Windows系统文件夹名)

然后病毒查找活跃/正在运行的应用程序(反病毒程序,见下面列表)并用 Windows“TerminateProcess”命令强行将它们卸除掉:

_AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS

e-Mail复制:

该蠕虫使用SMTP发送e-mail消息。它从一个WAB数据库找到e-mail地址并发送已感染的邮件到这些地址。

已感染的邮件的主题从下面列表中随机选择:

 Hello
 How are you?
 Can you help me?
 We want peace
 Where will you go?
 Congratulations!!!
 Don‘t cry

     Look at the pretty
 Some advice on your shortcoming
 Free XXX Pictures
 A free hot porn site
 Why don‘t you reply to me?
 How about have dinner with me together?
 Never kiss a stranger

邮件的正文如下:

 I‘m sorry to do so,but it‘s helpless to say sory.
 I want a good job,I must support my parents.
 Now you have seen my technical capabilities.
 How much my year-salary now? NO more than $5,500.
 What do you think of this fact?
 Don‘t call my names,I have no hostility.
 Can you help me?

附件:

有随机名字Win32 PE EXE文件, 它有 .exe扩展名或双扩展: name.ext.exe

蠕虫利用原始的程序来选择文件名(name.ext)。它扫描所有可用的驱动器并找到有下列扩展名的文件:.txt.htm.doc.jpg.bmp.xls.cpp.html .mpg.mpeg

它用发现的文件名之一(name.ext) 作为附件的基名,然后它增加第2个扩展名:“.exe”。例如:“Ylhq.htm.exe”,“If.xls.exe”, 等等。 蠕虫插入它自身的“From:”域进被感染的邮件中。依据随机数,它插入一个真实的e-mail地址到那里,或一个伪装的随机产生的地址。

蠕虫的一个有趣的特征是在发送被感染的消息前, 蠕虫把他发现的e-mail地址列表写到它自己的EXE文件中。

蠕虫体的所有的字符串(邮件和地址)都加密存储。

本地和网络驱动器复制:

蠕虫用写访问枚举所有的本地的驱动器和网络资源并用随机的名称name.ext.exe做它的拷贝到那里 (名字产生例程类似于产生附件的方式)。在拷贝自己到网络资源以后,蠕虫作为系统服务应用程序在远程的计算机上注册它的拷贝。

发作特点:

在13个月里, 蠕虫执行有效负载程序,它用随机的内容填满了可用的被感染的计算机磁盘上所有的文件。这些文件不能被修复,必须用一个备份来恢复。

各个版本的区别:

蠕虫有若干修正版本。I-Worm.Klez.a-d很类似,只有较小的差别。Klez.e-h 也很类似,并且也只有较小的差别。

相关文章 最新文章 推荐文章
MSN病毒幕后真凶现出原形
金山毒霸联合发布10月10日热门病毒
病毒传播源--端对端网络 如何构成攻击威胁?
网页病毒的概念

  中华网校依法保护知识产权,如果我们的文章有涉及或侵犯您的有关权益,请即时与我们 联系, 注明网址及文章,我们会即时处理或删除,感谢您的合作!中华网校email
  中华网校由广州市中六电脑城智锐计算机专业培训学院及中华网校技术中心提供网络支持未经本站许可任何个人网站、书刊报社一律不得私自复制,转载本站内容!

关于中华网校 | 广告服务 | 版权声明 | 投稿指南 | 网站合作 | 友情链接 | 网站地图

 

版权所有 中华网校 & 智锐网校 1999-2004 COPYRIGHT (C) 1999-2004 www.ZhiRui.com ALL RIGHTS RESERVED