Worm.Klez.L

適用作業系統：Windows 作業系統

適用作業系統補丁版本：全部補丁適用

求職信變種Worm.Klez.L病毒分析資料。

病毒在得到運行後，首先提升自身的運行級別，然後將自己複製到Windows系統目錄下，檔案名稱總以Wink開頭，同時還會放出一個小病毒體(Win32.Foroux.exe)，最後分別運行它們並退出。當病毒被自己再次運行時，它會發現自身已處於系統目錄下，此時病毒運行線路發生改變，它不再複製自身，而是創建7個病毒執行緒，並以系統服務的形式駐留記憶體。病毒的7個執行緒分別完成以下任務。

（1） 遍歷所有進程，殺掉對它有威脅的進程。稍後再作詳細介紹。

（2） 在本地硬碟搜尋一些著名防毒軟體的數據檔案，發現後立即後刪除，導致它們無法運行。

（3） 感染註冊表中某些已登記安裝了的軟體，例如Explorer,WinZip,WinRAR,OutLook等，因為這些軟體比較常用，可保證病毒被激活。

（4） 搜尋網路鄰居中的可寫資料夾，並將病毒體複製到其中，以便擴大傳染面積。

（5） 通過自帶的SMTP客戶端程式向用戶地址簿的地址傳送帶毒郵件。郵件標題多為吸引人的標題。例如Christmas , Hope等。此郵件在老版本系統上會自動執行附屬檔案。

（6） 將小病毒體釋放到Program File目錄中，檔案名稱隨機，並啟動此小型病毒體（Win32 Foroux）．病毒Win32 Foroux是個典型的檔案型病毒，啟動後即開始全盤感染執行檔。由於病毒會識別受Win2K，WinXP的系統認證保護的檔案，所以在病毒感染系統目錄時，不會引起警報對話框。

（7） 在Windows的Internet臨時資料夾中搜尋對它有威脅的檔案，找到後立即刪除。從而阻止用戶上網升級或下載對付它的程式。

Worm.Klez.L的最大特點在於其抑制防毒軟體的能力大為提高，甚至包括一些著名病毒（它的早期版本），只要是阻礙Worm.Klez.L傳播的軟體它都不放過。它通過註冊表和記憶體兩方面破壞這些軟體。

在啟動時，它會遍歷應用程式登記的安裝路徑。只要發現含有以下字元串，立刻刪除所對應的鍵值。

_AVP32 _AVPCC NOD32 NPSSVC NRESQ32 NSCHED32

NSCHEDNT? NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32

NAVRUNR? NAVW32 _AVPM? ALERTSVC AMON AVP32

AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD

AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95

ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98

AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95

CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton

Mcafee Antivir TASKMGR

這些字元串幾乎覆蓋了世界上所有的防毒軟體。

當病毒駐留記憶體後，病毒體內的一個執行緒不停地搜尋其他進程，只要在其一個模組中搜到以下一個字元串，立刻結束其運行。

Nimda（尼姆達） CodeRed(紅色代碼) WQKMM3878(Klez) GRIEF3878

Fun Loving Criminal Norton(諾頓) Mcafee Antivir

Avconsol F-STOPW F-Secure Sophos

Virus（最常見） AVP Monitor (AVP) AVP Updates(AVP) InoculateIT

PC-cillin(趨勢) Symantec(諾頓) Trend Micro(趨勢) F-PROT

NOD32

更可惡的是Worm.Klez.L還把此進程所對應的程式檔案也給刪除了。 由於防毒軟體和某些工具的代碼塊或數據塊中常包含此類字元串。並且病毒每次輪詢的間隔只有64毫秒（加上搜尋的時間也不過幾秒）。在它之後啟動的防毒軟體在點防毒按鈕前就已被幹掉。以至於無法帶毒防毒。

有趣的是病毒作者在其病毒體內還特意留下了一大段吹噓自己病毒的語句，中文翻譯如下：

Klez.E是最常見的全球性傳播蠕蟲。因其在隱秘和反反病毒技術方面的高度智慧型，使得它在破壞你的檔案時十分危險。絕大部分的反病毒軟體不能夠發現或者清除它。我們開發這種免費的免疫工具用以對抗惡性病毒。你只需要運行一次這種工具，Klez就再也不會進入你的個人電腦。

注意：因為這個工具以虛擬一個Klez的方式來欺騙真正的蠕蟲，所以一些反病毒實時監控可能會在您運行它時發出警報。如果這樣，跳過這個警告，並選擇‘continue’。如果你仍有問題，請與我mail聯繫。

Win32 klez 2.01版和 Win32 Foroux 1.0版

Copyright 2002,made in Asia

關於Klez 2.01版

1、主要任務是發表一個新的子PE病毒：Win32 Foroux

2、沒有重大變化，沒有修改Bug,沒有任何表現模組

關於Win32.Foroux

1、完全兼容於Win9X/2K/NT/XP等作業系統的Win32 PE病毒

2、沒有任何表現模組，沒有任何最佳化；

3、未釋放Bug---是因為從有這個想法到完成編碼及測試僅用了不超過3周時間就匆匆完成

作者雖然把Klez說成是個良性病毒，可以免疫其他病毒.但事實上它會刪除你的檔案，並且它所謂的免疫只是把帶有Nimda，Sircam，CodeRed等字元串的進程殺死，這種方法根本無法阻止其它病毒的傳染（就連這3種都不徹底）。

1、使用求職信（Worm.Klez）病毒專殺工具。注意：該求職信專殺工具用於非瑞星產品用戶針對計算機中求職信病毒的處理,瑞星2004版以後(含OEM版及下載版) 均已經針對該病毒提供了相應的處理功能, 請瑞星2004版之後的(含OEM版及下載版)用戶使用瑞星防毒軟體升級後查殺該病毒,無需使用該工具。

2、瑞星防毒軟體14.05之後的版本可以查殺此病毒。