|
发信人: emil(稻草人) 整理人: emil(2002-03-16 05:46:00), 站内信件 |
| W32.Klez.E@mm
病毒名称:W32.Klez.E@mm 别名: I-Worm.Klez.E, I-Worm/Klez.E, Klez, Klez.e, W32/Klez.F, W32/Klez.e@MM, WORM_KLEZ.E, Worm.wantjob.73744, Win32.HLLM.Klez.1, Worm/Klez.E 危险等级:中 传播速度:快 传播范围:低 发现时间:2002/01/17 长度: 大约80kb 发作时间:单数月份的6日 感染症状:中止一些常见反病毒软件的运行,并向病毒找到的一些电子邮件地址发送带毒的电子邮件;病毒占用大量的系统资源,使得计算机变慢,经常出现“没有足够内存运行*****.***程序……”的错误提示 发作症状:将一些文件大小置零(相当于删除文件且不可恢复)或者用病毒码覆盖文件,而这些被破坏的文件都是不可恢复的 病毒类型:网络蠕虫 操作平台:Windows 32位操作平台(除了WinNT) 感染对象:无 传播途径:电子邮件、局域网 病毒介绍: W32.Klez.E@mm蠕虫病毒是W32.Klez.A@mm蠕虫病毒的一个变种,都是通过电子邮件和局域网进行传播,带毒的电子邮件通常是随机的标题、内容和附件,而通过局域网传播带毒文件一般都是双重后缀名。 该病毒利用了MS Outlook和Outlook Express的漏洞,当用户打开或预览带毒的电子邮件时,病毒就会自动运行。有关的补丁下载地址如下: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp 病毒被运行后会在本地计算机上生成带毒文件(大约80kb)和一个名为W32.Elkern.3587的病毒,同时会中止一些常见的反病毒软件的运行,并删除这些反病毒软件的病毒数据库,而且在每月6日会将文件大小置零(相当于删除文件且不可恢复)或者用病毒码覆盖文件! 一般带毒的邮件标题是随机的,可能是以下列出的标题或者更多,甚至可能是空标题: A WinXP patch ALIGN Document End Eager to see you From Fw: HEIGHT Happy Lady Day Happy good Lady Day Happy nice Lady Day Have a good Lady Day Have a humour Lady Day Hello, Hi, Hi,spice girls' vocal concert Re: Return Returned mail--"Document End " Undeliverable mail--"..." Undeliverable mail--"IIS services with this Web administration tool." 邮件内容也是随机的,可能是下列内容,也有可能是空的: Congratulations Darling Don't drink too much Eager to see you Honey Introduction on ADSL Japanese girl VS playboy Japanese lass' sexy pictures Let's be friends Look,my beautiful girl friend Meeting notice Please try again Some questions Sos! The Garden of Eden how are you questionnaire spice girls' vocal concert welcome to my hometown your password 附件的名称也是随机的,而且是双重后缀名,最后的后缀名一般是.EXE、.PIF、.COM、.BAT、.SCR 和 .RAR。 如果Outlook或者IE没有打相应的补丁,不慎打开或者预览带毒的邮件的话,病毒就会被自动激活。而病毒会很巧妙的把带毒的附件注册为audio/x-wav 或者 audio/x-midi(都是多媒体类型),所以,即使附件是一些.exe后缀名的文件,Windows也会用一些多媒体播放软件来打开附件,往往会出现一段“没有足够内存运行*****.***程序……”的错误提示,但病毒此时已经被激活了: 当病毒激活后,会生成%System%\Wink***.exe(注:%System%指的是系统目录,一般是\Windows\System或者\Winnt\System32;***代表随机的字符,如病毒可能生成的是WINKIDT.EXE 或者 WINKKR.EXE等)。同时病毒修改注册表启动项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 或HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Wink***=wink***.exe 这样每次启动计算机的时候病毒都会被激活。同时,该病毒在%System%目录下生成一个名为W32.Elkern.3587的木马程序%System%\wqk.exe(Windows 9x/ME)或者%System%\wqk.dll(Windows 2000/XP)。病毒还会在注册表生成有关的注册表项: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink***(***代表随机的字符,和上面所说的病毒生成的文件名相对应) 接着病毒就会试图中止以下反病毒程序的运行: ACKWIN32 ALERTSVC AMON ANTIVIR AVCONSOL AVE32 AVGCTRL AVP32 AVPCC AVPM AVPTC AVPUPD AVWIN95 Antivir CLAW95 DVP95 F-AGNT95 F-PROT95 F-STOPW FP-WIN IOMON98 LOCKDOWN2000 Mcafee N32SCANW NAV NAVAPSVC NAVAPW32 NAVLU32 NAVRUNR NAVW32 NAVWNT NOD32 NPSSVC NRESQ32 NSCHED32 NSCHEDNT NSPLUGIN NVC95 Norton PCCWIN98 SCAN SCAN32 SWEEP95 TASKMGR2 VET95 VETTRAY VIRUS VSHWIN32 _AVP32 _AVPCC _AVPM 同时删除这些反病毒软件在注册表中的启动项和病毒数据库文件: AGUARD.DAT ANTI-VIR.DAT AVGQT.DAT CHKLIST.DAT CHKLIST.MS IVB.NTZ SMARTCHK.CPS SMARTCHK.MS 接着病毒会将自身复制到本地硬盘、映射盘和局域网的共享硬盘(完全共享)上,复制的文件名都是双重后缀的文件名,第一个后缀名一般是以下这些: BAK BAT C CPP DOC EXE HTM HTML MP3 MP8 MPEG MPQ PAS PIF SCR TXT WAB XLS 第二个后缀名一般是以下这些: BAT COM EXE PIF RAR SCR 例如:带毒的文件名可能是filename.txt.exe或者filename.SCR.RAR等。 此外,病毒会在Windows地址簿、ICQ数据库和以下一些文件中搜索邮件地址: BAK BAT C CPP DOC EXE HTM HTML MP3 MP8 MPEG MPQ PAS PIF SCR TXT WAB XLS 并向这些邮件地址发送带毒的电子邮件,发送的带毒附件的文件名格式如上,而发送这些电子邮件病毒一般是使用它自己本身的SMTP引擎,也可能会用到染毒计算机上可利用的SMTP服务器。一般带毒的电子邮件发件人地址被设为如下地址,不过也有可能是其他的一些地址: [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] es [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] ol-petech@terra. [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] 病毒会修改一些可执行文件,当病毒感染可执行文件时,首先会创建一个该文件的副本(不带病毒),并将该副本改为隐藏属性(也就是隐藏了原来正常的文件),且副本的后缀名也被改成是随机的;创建好副本之后,病毒就会用病毒码覆盖原来正常的文件,当用户试图运行程序的时候,病毒就会被激活,同时病毒会临时创建一个文件名和原来程序相对应并带有~1的程序,并运行,使得用户不会发觉程序已经被病毒修改了,当程序运行结束后,病毒会将临时生成的文件删除。例如,有个file.exe的执行文件,当被病毒修改后,就可能会有file.exe和file.fxp两个文件,file.exe就是病毒程序,file.fxp就是原来正常的程序,且被隐藏了。当运行file.exe的时候,病毒就会被激活,同时生成一个file~1.exe程序,程序运行结束后,病毒就会将file~1.exe删除。 当系统的日期是单数月份(1、3、5、7、9、11月)的6日时,病毒就会发作!如,系统的日期如果是1月6日或者7月6日,病毒就会将所有文件大小置零(相当于删除文件且不可恢复)或者用病毒码覆盖文件!如果其他单数月份的6日,病毒就会将以下后缀名结尾文件大小置零或者用病毒码覆盖文件: bak c cpp doc htm html jpg mp3 mpeg mpg pas txt wab xls 该病毒代码中还带有以下一段声明: Win32 Klez V2.0 & Win32 Elkern V1.1, (There nickname is Twin Virus *^__^* Copyright, made in Asia, announcement: 1. I will try my best to protect the user from vicious virus, Funlove,Sircam,Nimda,Codered, and even include W32.Klez.1.X 2. Well paid jobs are wanted. 3. Poor life should be unblessed. 4. Don’t accuse me, please accusse the unfair shit world. 预防方法: 1、从以下网址相应的补丁或者将IE和Outlook升级到6.0版本以上: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp 2、将反病毒软件升级到最新的版本。 3、取消不必要的共享,如果必须要共享的话,建议只设置只读属性,并设置共享密码! 紧急清除方法: 1、临时修改系统日期(非单数月6日); 2、删除带毒的电子邮件; 3、暂时取消所有的共享,并断开网络; 4、重新启动计算机进入安全模式,运行clrav.com或者fix_klez.com进行查杀病毒; 5、杀毒后将系统恢复正常日期,恢复连接网络,取消不必要的共享,如果必须要共享的话,建议只设置只读属性,并设置共享密码! 附注: 1、被病毒破坏的文件已经不可恢复的了; 2、clrav.com下载地址: http://cnav.myrice.com/avsoft/clrav.zip fix_klez.com下载地址: http://www.antivirus.com/vinfo/security/fix_klez.com *资料整理:聊毒斋 Emil 2002/03/06第一次整理 2002/03/07第二次整理 修改了一下清除方法 2002/03/08第三次整理 修正了病毒发作日期,修改预防方法和清除方法 2002/03/16第四次整理 增加查杀工具fix_klez.com *转载请注明出处,尊重作者的劳动! ---- 谨代表个人观点,如有异议或疑问,欢迎提出,我们互相学习,共同进步,谢谢! 网易(广州)社区病毒版 
http://cnav.myrice.com or http://cnav.533.net Email: [email protected] QQ:201604 |
|
[关闭][返回] |