病毒名称(中文):
求职信变种
病毒别名:
I-Worm.Klez.a[AVP]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
57345
影响系统:
Win9xWinNT
病毒行为:
这是一个带有破坏文件性质的蠕虫病毒。它将释放一个文件感染型病毒,在特定的时间里感染用户的磁盘数据。它将通过局域网文件共享,网
络文件共享以及电子邮件进行传播。它利用了MicrosoftOutlook或者OutlookExpress的漏洞,使得用户在打开甚至是仅仅预览携带有该病毒
的电子邮件时,自动运行附件里的病毒,从而感染该病毒。该病毒还在某些月份中的13号将用户本地磁盘、映射磁盘以及网络磁盘上的文件破
坏,并将文件大小置为0。
这是一个带有破坏文件性质的蠕虫病毒。它将释放一个文件感染型病毒,在特定的时间里感染用户的磁盘数据。它将通过局域网文件共享,网
络文件共享以及电子邮件进行传播。它利用了MicrosoftOutlook或者OutlookExpress的漏洞,使得用户在打开甚至是仅仅预览携带有该病毒
的电子邮件时,自动运行附件里的病毒,从而感染该病毒。该病毒还在某些月份中的13号将用户本地磁盘、映射磁盘以及网络磁盘上的文件破
坏,并将文件大小置为0。
9.技术细节:
1.将自己复制为%System32%\Krnl132.exe,并且释放文件%System32%\Wqk.dll,该文件为文件感染型病毒W32.ElKern.3326。
2.修改注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows"AppInit_DLLs"="Wqk.dll"
可能添加表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"krn132"="%System%\krn132.exe"
3.尝试禁止病毒扫描器,然后查找本地磁盘,映射磁盘和网络磁盘,假如找到就尝试将自己以随机文件名复制到其中,文件名是多重扩展名,
比如Filename.txt.exe,伪装成文本文件等非可执行程序,以迷惑用户去打开它。
4.搜索MicrosoftOutlook的地址薄里面的电子邮件地址,然后将自己以邮件附件的形式发送出去。
使用的邮件主题可能为下面主题之一:
Howareyou?
Canyouhelpme?
Wewantpeace
Wherewillyougo?
Congratulations!!!
Don"tcry
Lookatthepretty
Someadviceonyourshortcoming
FreeXXXPictures
Afreehotpornsite
Whydon"tyoureplytome?
Howabouthavedinnerwithmetogether?
Neverkissastranger
附件名是一个以.exe为结尾的随机文件名:
附件信息为(可能看不见,与客户段显示HTML邮件的方式有关):
I"msorrytodoso,butit"shelplesstosaysorry.
Iwantagoodjob,Imustsupportmyparents.
Nowyouhaveseenmytechnicalcapabilities.
Howmuchmyyear-salarynow?NOmorethan$5,500.
Whatdoyouthinkofthisfact?
Don"tcallmynames,Ihavenohostility.
Canyouhelpme?
由于MS01-020漏洞(详情参见http://www.microsoft.com/technet/security/bulletin/MS01-020.asp),假如用户是用MicrosoftOutlook或
者OutlookExpress收到这种邮件的话,邮件的附件将会自动执行。
5.在每年的2月,3月,4月,5月,7月,9月以及11月的13号,它将使本地磁盘,映射磁盘和网络磁盘上的文件大小都变为0。