基本介紹
- 中文名:求職信
- 外文名:Win32.WantJob
- 病毒別名1:W32.Klez.A@mm[NAV]
- 病毒別名2:I-Worm.Klez.c[AVP]
- 處理時間 :2001-10-26
- 威脅級別 :★★★★
- 病毒類型 :Win32病毒
- 影響系統 :Win9x / WinNT
病毒行為,查殺方法,同類病毒,
病毒行為
1.首先將自己要用到的字元串解碼。
2.啟動一個執行緒不停的查詢記憶體中的進程.檢查是否有一些防毒軟體存在(如AVP/NAV/NOD/Macfee等)。如果存在則將該防毒軟體的進程終止。每隔0.1秒就循環檢查進程一次,以至於這些防毒軟體無法運行。
3.接著病毒啟動另一個執行緒,用來創建一個名為WQK.EXE的檔案運行.拷貝到的目錄。然後將自身複製到的目錄。
4.然後修改註冊表,使自己的每次系統啟動都自動運行。
5.將自己註冊為系統的服務進程。
Hi
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don’t Cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don’t you reply to me?
How about have dinner with me together?
Never kiss a stranger
郵件正文部分為空,但編碼中有一段注釋:
I’m sorry to do so,but it’s helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than ,500.
What do you think of this fact?
Don’t call my names,I have no hostility.
Can you help me?
基於該病毒的這個信息,金山毒霸命名為wantjob病毒,全稱為:Worm.wantjob.57345。
7.啟動感染網上鄰居的執行緒。該執行緒發現可寫的已分享資料夾時,會隨機生成一個檔案名稱,並將病毒自身進行加密,用該檔案名稱將病毒複製過去。然後Sleep8小時再感染一次。檔案的長度會有60168.60169等的變化。檔案名稱的生成規則:
第一部分隨機生成的名字為字母或數字,最後補一個“。”,
第二部分在Htm.Doc.Jpg.Bmp.Xls.Cpp.Html.Mpg.Mpeg中選擇一個。
第三部分補上exe作為擴展名。
8.啟動26個執行緒,遍歷硬碟.網路盤一遍找滿足擴展名需求的檔案,這個檔案名稱將用於郵件傳送
9.進入一個循環,檢查本地的時間,如果時間為1月13日,則馬上啟動26個破壞執行緒,該執行緒查找硬碟上的所有檔案,並用記憶體中的數據覆蓋硬碟上的檔案。
查殺方法
工具名稱: Duba_WantJob.EXE 最新版本: 2002.5.11.26
最後更新日期: 2002年05月11日 16:56:40
適用平台: Windows95/98/ME/2000/NT
2002.5.11.26 支持查殺中文求職信 (Worm.donghe.49152 、 Worm.donghe.b.49152)
05-11 16:56:40
2002.4.25.24 改進對一些不規則檔案的查殺 04-27 14:15:05
2002.4.25.22 修正在win2000查檔案非法操作的問題 04-25 19:04:36
2002.4.24.21 主要功能:
1、完整清除整個求職信系列(括弧內為AVP命名):
Worm.WantJob.57344 (I-Worm.Klez.A)
Worm.WantJob.61440 (I-Worm.Klez.B)
Worm.WantJob.57345 (I-Worm.Klez.C)
Worm.WantJob.65536 (I-Worm.Klez.D)
Worm.WantJob.73744 (I-Worm.Klez.E)
Worm.WantJob.81936 (I-Worm.Klez.H)
Worm.WantJob.93760 (I-Worm.Klez.I)
Win32.WantJob.Klez.3326 (Win32.Klez)
Win32.WantJob.E.Klez.4926 (Win32.Klez.B)
Win32.WantJob.H.Foroux.10240 (Win32.Elkern.C)
2、完整記憶體清除病毒
3、體積更小,不足50KB;
4、查毒速度更快(提高1倍以上);
5、提供快速檔案類型過濾,只查可能被感染的檔案,速度 > 300個檔案/秒
同類病毒
“求職信”(Wantjob)病毒該病毒不僅具有尼姆達病毒自動發信、自動執行、感染區域網路等破壞功能,而且在感染計算機後還不停地查詢記憶體中的進程,檢查是否有一些防毒軟體的存在(如AVP/NAV/NOD/Macfee等)。如果存在則將該防毒軟體的進程終止。每隔0.1秒就循環檢查進程一次,以至於這些防毒軟體無法運行。
該病毒如果感染的是Windows NT/2000系統的計算機,即把自己註冊為系統服務進程,一般方法很難殺滅。它還不停地向外傳送郵件,把自己偽裝成“Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg”類型檔案中的一種,檔案名稱也是隨機產生的,很具隱蔽性。