病毒名稱
Klez(求職信)
別名:Win32/Krn132,Win32/Klez, W32.Klez, Kleza.A,ElKern, Klaz, Kletz, I-
Worm.Klez病毒介紹
Klez(發音為KLEHZ)是一種Internet蠕蟲,當用戶在一個還未打上Microsoft Internet郵件客戶漏洞補丁的系統上瀏覽或閱讀含有Klez的e-mail信息時,這種蠕蟲就自動出現了。用戶不用打開附屬檔案,Klez就會執行。自Klez於2001年10月被報導以來已經有超過六種Klez的變種了,它們由兩個部分組成,主要的蠕蟲和Windows可執行傳播者,這種傳播者從任何東西(從文檔到緩衝網頁)的e-mail地址上搜尋Windows機器。蠕蟲利用它自己的簡單郵件傳送協定(SMTP)把自己發到它所找到的地址。一般,Klez電子郵件的主題是120種預先編好的可能性中的一種,這使得許多終端用戶無法識別這種蠕蟲。它把自己拷貝到Windows系統目錄中,使用隨機的檔案名稱,並且將註冊碼指向這個蠕蟲檔案使其在系統啟動時運行。
Klez通常被認為是一種很討厭的蠕蟲,因為雖然它並不帶一些毀壞性的淨負荷,但是它會打擊整個郵件伺服器,並且需要大量的清除時間。Klez還有一個用於“交際”的淨負荷,用它來偽造e-mail中的“From:”域。當Klez在一台受感染的機器上找到了你的地址並使用它時,你就可能會收到一封你從來沒有發過的e-mail的氣憤的回覆。一些蠕蟲的版本帶有Elkern病毒,這是試圖通過瞄準帶幾個主流防毒軟體名字的檔案來使防毒軟體失效的惡意代碼。
病毒特點
(I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?)
該病毒通過
電子郵件傳播,郵件的主題從下列中隨機選取
Hi
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't Cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
附屬檔案的名稱也是隨機的,如Nxrj.exe,Uruo.exe,Vws.exe。如果用戶使用
微軟的Outlook收發電子郵件,那么在預覽含有該病毒的郵件時,病毒已經被執行。病毒一旦運行,將在C:\Windows\System下生成兩個隱含檔案Krn132.exe和Wqk.exe,修改註冊表,添加如下鍵值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Krn132=C:\WINDOWS\SYSTEM\Krn132.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WQK=C:\WINDOWS\SYSTEM\Wqk.exe
同時感染PE檔案和.scr檔案。
一旦感染此病毒,系統將變得非常緩慢,並且該病毒還可以通過取Outlook地址簿中的郵件地址自動傳播給其他用戶。