基本介紹
- 中文名:求職信變種
- 外文名:Worm.Klez.a
- 病毒別名:I-Worm.Klez.a[AVP]
- 影響系統:Win9x / WinNT
- 病毒類型:蠕蟲
概述,病毒行為,技術細節,
概述
威脅級別:★★
病毒行為
它將通過區域網路檔案共享,網路檔案共享以及電子郵件進行傳播。它利用了Microsoft Outlook或者Outlook Express的漏洞,使得用戶在打開甚至是僅僅預覽攜帶有該病毒的電子郵件時,自動運行附屬檔案里的病毒,從而感染該病毒。該病毒還在某些月份中的13號將用戶本地磁碟、映射磁碟以及網路磁碟上的檔案破壞,並將檔案大小置為0。
技術細節
1.將自己複製為%System32%\Krnl132.exe,並且釋放檔案%System32%\Wqk.dll,該檔案為檔案感染型病毒W32.ElKern.3326。
2.修改註冊表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\
"AppInit_DLLs"="Wqk.dll"
可能添加表項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"krn132"="%System%\krn132.exe"
3.嘗試禁止病毒掃描器,然後查找本地磁碟,映射磁碟和網路磁碟,如果找到就嘗試將自己以隨機檔案名稱複製到其中,檔案名稱是多重擴展名,
比如Filename.txt.exe,偽裝成文本檔案等非可執行程式,以迷惑用戶去打開它。
4.搜尋Microsoft Outlook的地址薄裡面的電子郵件地址,然後將自己以郵件附屬檔案的形式傳送出去。
使用的郵件主題可能為下面主題之一:
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
附屬檔案名是一個以.exe為結尾的隨機檔案名稱:
附屬檔案信息為(可能看不見,與客戶段顯示HTML郵件的方式有關):
I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?
由於MS01-020漏洞(詳情參見http://www.microsoft.com/technet/security/bulletin/MS01-020.asp),如果用戶是用Microsoft Outlook或
者Outlook Express收到這種郵件的話,郵件的附屬檔案將會自動執行。
5.在每年的2月,3月,4月,5月, 7月, 9月以及11月的13號,它將使本地磁碟,映射磁碟和網路磁碟上的檔案大小都變為0。
