基本介紹
基本信息,病毒體內有以下加密信息,病毒的隱蔽性表現,
基本信息
病毒名稱:Klez.k病毒,自稱Klez.e(由於有其它人修改此病毒導致總版本高於病毒作者自己的命名)。
此次由瑞星公司未知郵件系統首先截獲的Klez.k病毒自稱Klez.e,由於又有其他人又修改了此病毒,因而
總版本高於病毒作者自己的命名。
此次最新發現的Klez.k病毒和以往版本的“求職信”病毒類似,啟動了7個執行緒,其作用主要如下:
1.外發郵件;
2.修改註冊表;
3.搜尋本地檔案;
4.搜尋網路鄰居。
通過郵件傳播,這個Klez.k“求職信”病毒的信件主題可能為以下幾組內容的組合(%s用於互相組合):
Hi,Hello,Re:Fw:Undeliverable mail--"%s",Returned mail--"%s"
a %s %s game.a%s %s tool.a %s%s website.a %s%s patch.%s removal tools new.funny.nice.humour.
excite.good.powful.WinXP.IE 6.0.W32.Elkern How are you.Let's be friends.Darling.So cool a flash,
enjoy it.Your password.Honey.some questions.Please try again.Welcome to my hometown.The Garden
of Eden.Introduction on ADSL.Meeting notice.
Questionnaire.Congratulations.Sos!.Japanese girlVS playboy.Look,my beautiful girl friend.Eager
to see you.Spicegirls' vocal concert.Japanese lass' sexy pictures
郵件附屬檔案的虛假擴展名可能為以下之一:
txt htm html wab doc xls jpg cpp c pas mpg mpeg bak mp3
真實擴展名為以下之一:EXE SCR PIF BAT
病毒體內有以下加密信息
:
Win32 KlezV2.01 & Win32 Foroux V1.0..Copyright 2002,made in Asia..About Klez V2.01
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload About Win32Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interestingfeature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks fromhaving such idea to accompl
-ishing coding and testing
病毒體內還有一段html格式的信息,如下:
Worm Klez.E immunity.Klez.E is the most common world-wide spreading worm.
It'svery dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't
detect or clean it.
We developedthis free immunity tool to defeat the maliciousvirus.
Youonly need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez tofool the real worm,some AV monitor maybe cry when
you run it.
If so,Ignorethe warning,andselect 'continue'.
If you have any question,please mailto me
Klez釋放出的Foroux病毒,大小為10240位元組,可能用彙編語言在windows2000下編寫的。此病毒進行了簡
單但多次的加密和變形,以阻止靜態和動態分析。
病毒會搜尋kernel32.dll以獲得以下函式的入口地址:
SetEndOfFile,SetFilePointer,CreateFileA,GetFileAttributesA,SetFileAttributesA,FindCloseChenge,
GetFileTime,SetFileTime,GetFileSize,CreateFileMappingA,MapViewFille,UmapViewFile,OpenFileMappingA,
VirtualProtectEx,ReadProceseeeMemory,WriteProcessMemory,OpenProcess,FindFirstFileA,FindNextFileA,
FindClose,LoadLibraryA,CreateThread,MultiByteToWideChar,Sleep,lstrcmpiA,GetModuleFileName,
GetDirverTypeA,GetTickCount,GetVersion,CreatToolhelp32Snapshot,Process32First,Process32Next
病毒的隱蔽性表現
1、不會感染作業系統保護的檔案,以防止系統提示用戶。
2、改變進程,並打開EXPLORER進程進行感染,但由於程式的問題,經常導致EXPLORER和其它進程運行錯誤。
3、此病毒改變檔案系統,試圖進行感染。
4、此病毒會創建名為WQK的命名記憶體映象,並將病毒體置於其中,用於進程間感染。
此病毒的破壞性表現在:
1、加密保存用戶檔案,造成用戶程式使用不正常。
2、影響了EXPLORER等進程的正常工組,導致用戶使用中經常出現非法操作。
3、亂髮郵件加重郵件系統負荷。
4、搜尋網路導致占用網路資源。
此病毒的傳播途徑有:
1、通過郵件附屬檔案
2、網路鄰居或者映射的網路驅動器