精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆病毒分析☆>>求职信病毒变种III分析资料

主题:求职信病毒变种III分析资料
发信人: lili1885(傲世独孤)
整理人: emil(2002-09-09 14:13:20), 站内信件

求职信病毒变种III分析资料


发布时间:2002-04-24 09:41:48 来源:AV95III技术组

I-Worm.Klez 
该蠕虫病毒通过电子邮件在网络上传播。蠕虫本身是一个Windows 可执行文件,大小(根据其版本的不同)约57-65KB,用VC++编写。 
病毒邮件主题及附件是变化的(见下文),病毒利用了IE的一个安全漏洞(IFRAME),当用户预览邮件时,便会感染该蠕虫病毒。 
运行: 
当一个病毒文件运行时,该蠕虫将自身复制到Windows系统目录下并命名为"krn132.exe",然后它添加如下注册表键值以在WINDOWS启动时自动运行。 
HKLMSoftwareMicrosoftWindowsCurrentVersionRun 
Krn132 = %System%Krn132.exe 

该病毒查找正在运行的程序(主要为反病毒程序,见下文列表)并利用Windows的"TerminateProcess"命令结束这些进程。 
_AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC, 
NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32, 
NSCHEDNT, NSPLUGIN, SCAN, SMSS 

传播途径一:e-mail 
该蠕虫病毒利用SMTP协议发送e-mail,它在WAB数据库中查找e-mail地址并向这些地址发送病毒邮件。 
病毒邮件主题可能会是以下几种: 
Hello 
How are you? 
Can you help me? 
We want peace 
Where will you go? 
Congratulations!!! 
Don't cry 
Look at the pretty 
Some advice on your shortcoming 
Free XXX Pictures 
A free hot porn site 
Why don't you reply to me? 
How about have dinner with me together? 
Never kiss a stranger 

内容如下:I'm sorry to do so,but it's helpless to say sory. 
I want a good job,I must support my parents. 
Now you have seen my technical capabilities. 
How much my year-salary now? NO more than $5,500. 
What do you think of this fact? 
Don't call my names,I have no hostility. 
Can you help me? 

附件是W32 PE EXE文件,名称随机,扩展名为".exe"或双扩展名如"name.ext.exe"。 
病毒使用其原始程序来选择附件文件名,它搜索所有的驱动器并查找有如下扩展名的文件: 
.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg 
它利用查找到的此类文件的文件名作为其病毒邮件附件的基础名称,再加上双扩展名".exe"。例如:"abcd.htm.exe","ef.xls.exe"。 

该蠕虫病毒自己添加病毒邮件的"From:"域,根据随机的计数,病毒可能会填写其真实的地址,或者填写一个随机生成的地址。 

该病毒一个有趣的特征是,在其发送病毒邮件之前,它会将发现的e-mail址列表写到它自己的EXE文件中。 

病毒体中的所有字符(内容及地址)都被加密过。 

传播途径二:本地及网络驱动器 
该病毒会列举所有的本地及网络可写资源,并在此复复制其自身,命名规则类似于其附件的名称。在复制到网络上后,病毒会将其注册为远程机器的一个系统服务进程。 

发作: 
偶数月的13号,病毒会以随机内容填充被感染机器上所有的可写文件,这些文件只能从备份文件恢复。 

其它版本: 
该病毒作过几次修改,I-Worm.Klez.a-d非常相似。 

Klez.e 

安装: 
病毒将自身复制到系统目录下,名称是以"Wink"开头的随机名,如"Windab.exe"。 

感染: 
病毒查找键值链接到其自身程序: 
SoftwareMicrosoftWindowsCurrentVersionApp Paths 
然后,病毒试图感染其发现的EXE程序,每当感染一个EXE文件,病毒会用该文件名加随机扩展名创建一个新文件,并将其属性设为 隐藏+系统+只读 。该文件用来运行病毒最初的感染程序。当被感染文件运行,病毒将最初文件解压缩到一个temp文件中然后运行它,文件名用其初始文件名加上"MP8"。 
病毒通过将自身以随机名复制到RAR档案中来感染RAR文件,被感染的文件名如下: 
setup 
install 
demo 
snoopy 
picacu 
kitty 
play 
rock 

有一个或两个扩展名,最后一个扩展名为".exe", ".scr", ".pif" or ".bat"。 

传播:e-mail 
病毒邮件主题如下或随机生成: 
Hi, 
Hello, 
Re: 
Fw: 
how are you 
let's be friends 
darling 
don't drink too much 
your password 
honey 
some questions 
please try again 
welcome to my hometown 
the Garden of Eden 
introduction on ADSL 
meeting notice 
questionnaire 
congratulations 
sos! 
japanese girl VS playboy 
look,my beautiful girl friend 
eager to see you 
spice girls' vocal concert 
Japanese lass' sexy pictures 
主题也可能从以下内容中生成: 
Undeliverable mail--%% 
Returned mail--%% 
a %% %% game 
a %% %% tool 
a %% %% website 
a %% %% patch 
%% removal tools 
%%内容从以下列表中选取: 
new 
funny 
nice 
humour 
excite 
good 
powful 
WinXP 
IE 6.0 
W32.Elkern 
W32.Klez 

正文内容随机生成或为空。 

附件:Win32 PE EXE文件,名称随机,以".exe"为扩展名或双扩展名。 

病毒利用Iframe安全漏洞,使用户在预览邮件时便会被感染。 

发作: 
奇数月6日,病毒会向地及网络上所有可写文件填充随机内容,这些文件只能通过备份恢复。 

其它: 
病毒查找所有正在运行的进程,如果包含如下字符串,则结束它们: 
Sircam 
Nimda 
CodeRed 
WQKMM3878 
GRIEF3878 
Fun Loving Criminal 
Norton 
Mcafee 
Antivir 
Avconsol 
F-STOPW 
F-Secure 
Sophos 
virus 
AVP Monitor 
AVP Updates 
InoculateIT 
PC-cillin 
Symantec 
Trend Micro 
F-PROT 
NOD32 

病毒随机并根据不同的条件从本地硬盘上选择病毒邮件的附件。(也就是,病毒邮件有两个附件:病毒副本及附加文件)。病毒查找如下文件作为附件: 
.txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .c .pas .mpg 
.mpeg .bak .mp3 .pdf 
结果是病毒可能会将私人或机密文件发送出去。 

I-Worm.Klez.h 
该变种极其类似于"Klez.e"。不同之处在于: 
该变种并不破坏文件,病毒邮件内容及主题有更多变化,某些病毒邮件内容主题如下: 
Worm Klez.E immunity 

Klez.E is the most common world-wide spreading worm.It's very dangerous 
by corrupting your files. 
Because of its very smart stealth and anti-anti-virus technic,most 
common AV software can't detect or clean it. 
We developed this free immunity tool to defeat the malicious virus. 
You only need to run this tool once,and then Klez will never come into 
your PC. 
NOTE: Because this tool acts as a fake Klez to fool the real worm,some 
AV monitor maybe cry when you run it. 
If so,Ignore the warning,and select 'continue'. 
If you have any question,please mail to me. 

病毒还包含如下字符串: 
Win32 Klez V2.01 & Win32 Foroux V1.0 
Copyright 2002,made in Asia 
About Klez V2.01: 
1,Main mission is to release the new baby PE virus,Win32 Foroux 
2,No significant change.No bug fixed.No any payload. 
About Win32 Foroux (plz keep the name,thanx) 
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP 
2,With very interesting feature.Check it! 
3,No any payload.No any optimization 
4,Not bug free,because of a hurry work.No more than three weeks from 
having such idea to accomplishing coding and testing 

清除方法: 
1、 查找以下进程:Krn132.exe,将其杀掉 
2、 打开注册表,进入HKLMSoftwareMicrosoftWindowsCurrentVersionRun, 
把含有Krn132字符串的键值删除 
3、 进入%SYSTEM%目录,删除以下文件:Wink*.exe 
4、 用AV95III V3.30已可以清除该病毒 


注解: 
%WINDOWS%是系统文件夹: 
如Windows 9x/Me为 x:Windows 
Windows NT/2000/XP为 x:Winnt 
%SYSTEM%是系统文件夹: 
如Windows 9x/Me为 x:Windowssystem 
Windows NT/2000/XP为 x:Winntsystem32 


[关闭][返回]