病毒名称:
Worm.Klez.i
类别: 蠕虫病毒
病毒资料:
一、正常情况下,启动8个线程。奇数月的6号会启动另外26个线程,破坏所有硬盘和网络盘上的下述文件(内容被覆盖)。
*.txt *.htm *.Html *.wab *.doc *.xls *.jpg *.cpp *.c *.pas *.mpg *.mpeg *.bak *.mp3
二、如果进程ID小于3000,且任一模块中包含下面字符串:
Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun
Loving
Criminal
Norton
McAfee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP
Monitor
AVP
Updates
InoculateIT
PC-cillin
Symantec
Trend
Micro
F-PROT
NOD32
则该进程可能被终止
三、病毒中包括如下加密信息:
Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious virus,Funlove,
Sircam,Nimda,CodeRed and even include W32.Klez 1.X.
2.Well paid jobs are wanted
3.Poor life should be unblessed
4.Don't accuse me.Please accuse the unfair shit world
[蠕虫的流程]
1. 蠕虫使用AdjustTokenPrivileges调整自己的特权,
2.拷贝自己的一个副本到系统目录下,名为win****.exe.
3.修改注册表,向SCM数据库中添加新的服务。
4.复制自己并运行,然后删除。
5.调用StartServiceCtrlDispatcher函数。
6.服务创建下面的线程。
7.结束。
第一个线程:写注册表;遍历系统进程,结束正在运行的进程并删除进程的磁盘文件。
第二个线程:发email。
第三个线程:遍历本地网络。
第四个线程:
第五个线程:复制自己,运行后删除。
第六个线程:
第七个线程:
第八个线程:搜索磁盘文件。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Worm.Klez.i(求职信)最新变种。
发现日期:
2002-2-18