病毒名称(中文):
病毒别名:
W32.Klez.A@mm[NAV],I-Worm.Klez.c[AVP]
威胁级别:
★★★★☆
病毒类型:
其它
病毒长度:
57345
影响系统:
Win9xWinNT
病毒行为:
这是一个广泛传播的混合型蠕虫病毒,主要通过邮件和网络共享传播,危害极大。
1.首先将自己要用到的字符串解码。
2.启动一个线程不停的查询内存中的进程.检查是否有一些杀毒软件存在(如AVP/NAV/NOD/Macfee等)。假如存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次,以至于这些杀毒软件无法运行。
3.接着病毒启动另一个线程,用来创建一个名为WQK.EXE的文件运行.拷贝到<%WINDOWS%>的<%SYSTEM%>目录。然后将自身复制到<%WINDOWS%>的<%SYSTEM%>目录。
4.然后修改注册表,使自己的每次系统启动都自动运行。
5.将自己注册为系统的服务进程。
6.启动一个线程用于发送邮件,病毒再次利用Nimda病毒利用的IframeExecCommand漏洞,使没有打IE补丁的用户收到邮件后会自动运行。病毒会随机选取以下语句作为邮件主题:
Hi
Hello
Howareyou?
Canyouhelpme?
Wewantpeace
Wherewillyougo?
Congratulations!!!
Don’tCry
Lookatthepretty
Someadviceonyourshortcoming
FreeXXXPictures
Afreehotpornsite
Whydon’tyoureplytome?
Howabouthavedinnerwithmetogether?
Neverkissastranger
邮件正文部分为空,但编码中有一段注释:
I’msorrytodoso,butit’shelplesstosaysorry.
Iwantagoodjob,Imustsupportmyparents.
Nowyouhaveseenmytechnicalcapabilities.
Howmuchmyyear-salarynow?NOmorethan$5,500.
Whatdoyouthinkofthisfact?
Don’tcallmynames,Ihavenohostility.
Canyouhelpme?
基于该病毒的这个信息,金山毒霸命名为wantjob病毒,全称为:Worm.wantjob.57345。
7.启动感染网上邻居的线程。该线程发现可写的共享目录时,会随机生成一个文件名,并将病毒自身进行加密,用该文件名将病毒复制过去。然后Sleep8小时再感染一次。文件的长度会有60168.60169等的变化。文件名的生成规则:
第一部分随机生成的名字为字母或数字,最后补一个“。”,
第二部分在Htm.Doc.Jpg.Bmp.Xls.Cpp.Html.Mpg.Mpeg中选择一个。
第三部分补上exe作为扩展名。
8.启动26个线程,遍历硬盘.网络盘一遍找满足扩展名需求的文件,这个文件名将用于邮件发送
9.进入一个循环,检查本地的时间,假如时间为1月13日,则马上启动26个破坏线程,该线程查找硬盘上的所有文件,并用内存中的数据覆盖硬盘上的文件。
