精华区 [关闭][返回]
当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆病毒资料☆>>W32.Klez.H@mm病毒资料

主题:W32.Klez.H@mm病毒资料
发信人: emil(稻草人)
整理人: emil(2002-05-12 12:13:44), 站内信件
W32.Klez.H@mm
 
  病毒名称:W32.Klez.H@mm

  别名:  I-Worm.Klez.h, I-Worm.W32/Klez.gen@MM, W32.Klez.gen@mm, W32/Klez-G, W32/Klez.G@mm, W32/Klez.I, W32/Klez.K-mm, W32/Klez.gen@MM, W32/Klez.h@MM, WORM_KLEZ.G, Worm.wantjob.81936

  危险等级:中

  传播速度:快

  传播范围:中

  发现时间:2002/04/17

  长度:  大约90kB

  发作时间:随时

  感染症状:计算机系统和网络速度严重变慢,甚至出现死机情况

  发作症状:大量发送电子邮件,生成大量的双重后缀名的病毒文件

  病毒类型:蠕虫

  感染对象:.exe文件

  传播途径:电子邮件和局域网

  病毒介绍:

  W32.Klez.H@mm病毒是W32.Klez.E@mm病毒的一个变种,该病毒能通过电子邮件和局域网大量的传播,并可以感染别的文件。

  W32.Klez.H@mm病毒发送的电子邮件标题、内容和附件都是随机的,当收到带毒的电子邮件,如果IE没有打上相应的补丁病毒就会自动运行激活。如果IE打了补丁或者升级到了6.0版本,会出现“文件下载”的提示框,出现“打开”、“保存”、“取消”、“详细信息”等选项。感染病毒后,计算机系统和网络速度就会严重变慢,甚至出现死机情况。请浏览以下网页为IE打上相应的补丁:

  http://www.microsoft.com/technet/security/bulletin/MS01-020.asp


  当病毒被激活后,它就会创建一个病毒体文件:
  \%System%\Wink<随机字符>.exe
  注:%System%指的是系统目录,一般是\Windows\System或者\Winnt\System32,病毒体的文件名有可能是Winkrgb.exe、Winkdlw.exe等等。

  然后在注册表启动项中添加病毒体相应的启动项:

  Win9x/Me系统:
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  WinNT/2000/XP系统:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[随机字符]

  键值
  Wink<随机字符>=%System%\Wink<随机字符>.exe

  这样在系统每次启动的时候病毒都会被自动激活,在WinNT/2000/XP系统下病毒是作为一个服务启动。


  病毒还会试图中止一些常见的防病毒软件的运行和以前一些常见病毒的运行(包括W32.Nimda和CodeRed“红色代码”),如果防病毒软件没有及时更新,就会被病毒中止并失效。同时病毒还会删除一些防病毒程序在注册表中的启动项及其病毒定义码文件:
  Aguard.dat
  Anti-Vir.dat
  Avgqt.dat
  Chklist.cps
  Chklist.dat
  Chklist.ms
  Chklist.tav
  Ivb.ntz
  Smartchk.cps
  Smartchk.ms
  

  同时病毒还会禁止以下程序的运行或者删除以下一些程序:
  _AVP32 
  _AVPCC 
  _AVPM
  *SCAN* (包含SCAN字符串的程序) 
  *VIRUS* (包含VIRUS字符串的程序)
  ACKWIN32 
  ALERTSVC 
  AMON 
  ANTIVIR 
  AVCONSOL 
  AVE32 
  AVGCTRL 
  AVP32 
  AVPCC 
  AVPM 
  AVPTC 
  AVPUPD 
  AVWIN95 
  Antivir 
  CLAW95 
  DVP95 
  F-AGNT95 
  F-PROT95 
  F-STOPW 
  FP-WIN 
  IOMON98 
  LOCKDOWN2000 
  Mcafee 
  N32SCANW 
  NAV 
  NAVAPSVC 
  NAVAPW32 
  NAVLU32 
  NAVRUNR 
  NAVW32 
  NAVWNT 
  NOD32 
  NPSSVC 
  NRESQ32 
  NSCHED32 
  NSCHEDNT 
  NSPLUGIN 
  NVC95 
  Norton 
  PCCWIN98 
  SCAN32 
  SWEEP95 
  TASKMGR 
  VET95 
  VETTRAY 
  VSHWIN32 
  

  病毒会通过局域网和电子邮件进行传播:

  在局域网中,这个蠕虫将自身大量的拷贝到本地硬盘、映射盘和局域网共享目录上,所拷贝的文件名如下:
  a. 双重后缀名的可执行文件,如Filename.txt.exe;
  b. 双重后缀名的.rar文件,如Filename.txt.rar。
  这样显示的时候就是可执行文件或者是压缩文件的图标。

  通过电子邮件:病毒会通过搜索Windows的地址簿、ICQ数据库和本地机上文件中电子邮件地址,然后病毒就会把带毒的电子邮件发给这些邮件地址,病毒会使用自身所带有的SMTP引擎和本地机上所能用到的SMTP服务器发送带毒的电子邮件。

  邮件的发件人、标题、内容和附件都是随机的,发件人的地址是在被感染的计算机上随机找的一个电子邮件地址。病毒会在以下后缀名的文件中查找电子邮件地址:
  .mp8
  .exe
  .scr
  .pif
  .bat
  .txt
  .htm
  .html
  .wab
  .asp
  .doc
  .rtf
  .xls
  .jpg
  .cpp
  .pas
  .mpg
  .mpeg
  .bak
  .mp3
  .pdf

  而病毒的会随机的选择本地机上的文件作为邮件附件,附件的后缀名可能是以下后缀:
  .mp8
  .txt
  .htm
  .html
  .wab
  .asp
  .doc
  .rtf
  .xls
  .jpg
  .cpp
  .pas
  .mpg
  .mpeg
  .bak
  .mp3
  .pdf

  一般病毒发送的带毒电子邮件都会有至少两个附件,一个是上述的随机文件,另外一个就是病毒文件。

  邮件内容是随机的字符,邮件的标题也是随机的,也或许是以下的标题内容:
  Undeliverable mail--"[随机字符]"
  Returned mail--"[随机字符]"
  a [随机字符] [随机字符] game
  a [随机字符] [随机字符] tool
  a [随机字符] [随机字符] website
  a [随机字符] [随机字符] patch
  [随机字符] removal tools
  Your password 
  congratulations 
  darling 
  eager to see you 
  honey 
  how are you 
  introduction on ADSL 
  japanese girl VS playboy 
  japanese lass' sexy pictures 
  let's be friends 
  look,my beautiful girl friend 
  meeting notice 
  please try again 
  questionnaire 
  so cool a flash,enjoy it 
  some questions 
  sos! 
  spice girls' vocal concert 
  the Garden of Eden 
  welcome to my hometown 

  上述的标题随机字符可能是以下这些:
  new
  funny
  nice
  humour
  excite
  good
  powful
  WinXP
  IE 6.0
  W32.Elkern
  W32.Klez.E
  Symantec
  Mcafee
  F-Secure
  Sophos
  Trendmicro
  Kaspersky
  

  在病毒体中还包含以下的字符串:
  Win32 Klez V2.01 & Win32 Foroux V1.0 
  Copyright 2002,made in Asia 
  About Klez V2.01: 
  1,Main mission is to release the new baby PE virus,Win32 Foroux 
  2,No significant change.No bug fixed.No any payload. 
  About Win32 Foroux (plz keep the name,thanx) 
  1,Full compatible Win32 PE virus on Win9X/2K/NT/XP 
  2,With very interesting feature.Check it! 
  3,No any payload.No any optimization 
  4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing
  

  同时,W32.Klez.H@mm病毒还夹带了另外一个病毒W32.Elkern.4926,同时在\%Program Files%(程序文件目录,一般是\Program Files)生成一个随机名的病毒文件,并激活它,关于该病毒请参阅相关的病毒资料。

  

  预防方法:

  1、升级防病毒软件的最新病毒定义文件!

  2、浏览以下网址查阅有关IE漏洞的资料,下载并打上相关的IE补丁程序:

  http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

  或者升级到IE6.0以上的版本。

  3、取消所有的网络共享,如果必须要设置共享,请设置相关密码。

  4、当打了相关的IE补丁程序或者升级了IE之后,如果收到一些可疑的电子邮件(一般浏览这些可疑邮件就会提示“打开”、“保存”等信息),千万不能运行这些程序,同时请立即将这些带毒的电子邮件删除。

  

  清除方法:

  1、建议从以下网址下载专门的工具进行查杀:

  http://securityresponse.symantec.com/avcenter/FixKlez.com

  将这个工具保存到本地硬盘上,同时记住下载最新的病毒定义文件,准备升级用。

  2、取消所有网络共享;

  3、重新启动进入安全模式,然后运行FixKlez.com工具,然后点击"Start"按钮进行杀毒,同时这个工具会生成一个fixklez.txt报告文件,该文件记录了该工具查杀病毒的结果。

  4、杀毒后重新启动计算机;

  5、如果您的反病毒软件被病毒破坏了导致不能正常启动,请卸装再重新安装,并升级到最新的病毒定义。

  6、升级完毕之后,请用反病毒软件再全面检查一遍,确认已经清除病毒。


*资料整理:聊毒斋 Emil 
2002/05/09 第一次整理 
*转载请注明出处,尊重作者的劳动!
 



----
谨代表个人观点,如有异议或疑问,欢迎提出,我们互相学习,共同进步,谢谢!
网易(广州)社区病毒版

聊毒斋
http://cnav.myrice.com  or  http://cnav.533.net
Email: [email protected]
QQ:201604         
[关闭][返回]