病毒名称:
W32.Klez.H@mm
类别: 蠕虫
病毒资料:
病毒特征:可借助电子邮件及共享网络传播,同时会感染文件。病毒运行后,会在机器上生成%System%Wink.exe文件,并将键值Wink %System%Wink.exe添加至如下注册表中;
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
或者创建注册表键:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWink[随机字符],并在子键中插入键值,使得Windows启动时,病毒会自动运行。
另外,此蠕虫还会通过停止一些激活的进程来破坏病毒扫描器以及阻止以前出现的蠕虫(如尼姆达及红色代码)的运行。又会删除反病毒软件的启动键值及检测数据文件,如:
Anti-Vir.dat
Chklist.dat
Chklist.ms
Chklist.cps
Chklist.tav
Ivb.ntz
Smartchk.ms
Smartchk.cps
Avgqt.dat
Aguard.dat
病毒还会将自身拷贝至本地、映射网络驱动器中,文件名可能为:
1.双扩展名的随机文件。如Filename.txt.exe
2.双扩展名的.rar 文件包,如Filename.txt.rar
关于病毒邮件,它会搜索Windows地址簿、ICQ数据库及本地文件中的所有邮件地址,之后向这些邮件地址发送带毒邮件。它有自己的SMTP引擎。病毒邮件的主题、正文及附件名都是随机的,其中邮件来源(From:项)是从被感染机器上所找到的邮件地址中随机选取的。
它从如下后缀名的文件中搜索邮件地址:
mp8
.exe
.scr
.pif
.bat
.txt
.htm
.Html
.wab
.ASP
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
邮件主题为如下列表之一:
Undeliverable mail--"[Random Word]"
Returned mail--"[Random word]"
a [随机文字] [随机文字] game
a [随机文字] [随机文字] tool
a [随机文字] [随机文字] website
a [随机文字] [随机文字] patch
[随机文字] removal tools
how are you
let‘s be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introdUCtion on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls‘ vocal concert
japanese lass‘ sexy pictures
上述的随机文字可能为如下之一:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
McAfee
F-Secure
Sophos
Trendmicro
Kaspersky
邮件正文是随机的。若在未打补丁的Outlook或Outlook Express中打开病毒邮件,病毒会自动运行,请尽快到如下地址下载并安装相应补丁:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
另外,通过创建原病毒文件的一隐藏性病毒副本来感染可执行文件,并用自身覆盖掉被感染的原文件。其中隐藏的病毒副本经过加密,其文件名等同于原病毒文件,但扩展名任意。此蠕虫还会将病毒W32.Elkern.4926加入到%Program Files%文件夹中,以随机文件名存在,然后会运行该病毒。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
发现日期:
2002-4-17
