发信人: emil(稻草人)
整理人: emil(2002-08-02 07:55:28), 站内信件
|
W32.Klez.E@mm
病毒名称:W32.Klez.E@mm
别名: I-Worm.Klez.E, I-Worm/Klez.E, Klez, Klez.e, W32/Klez.F, W32/Klez.e@MM, WORM_KLEZ.E, Worm.wantjob.73744, Win32.HLLM.Klez.1, Worm/Klez.E
危险等级:中
传播速度:快
传播范围:低
发现时间:2002/01/17
长度: 大约80kb
发作时间:单数月份的6日
感染症状:中止一些常见反病毒软件的运行,并向病毒找到的一些电子邮件地址发送带毒的电子邮件;病毒占用大量的系统资源,使得计算机变慢,经常出现“没有足够内存运行*****.***程序……”的错误提示
发作症状:将一些文件大小置零(相当于删除文件且不可恢复)或者用病毒码覆盖文件,而这些被破坏的文件都是不可恢复的
病毒类型:网络蠕虫
操作平台:Windows 32位操作平台(除了WinNT)
感染对象:无
传播途径:电子邮件、局域网
病毒介绍:
W32.Klez.E@mm蠕虫病毒是W32.Klez.A@mm蠕虫病毒的一个变种,都是通过电子邮件和局域网进行传播,带毒的电子邮件通常是随机的标题、内容和附件,而通过局域网传播带毒文件一般都是双重后缀名。
该病毒利用了MS Outlook和Outlook Express的漏洞,当用户打开或预览带毒的电子邮件时,病毒就会自动运行。有关的补丁下载地址如下:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
病毒被运行后会在本地计算机上生成带毒文件(大约80kb)和一个名为W32.Elkern.3587的病毒,同时会中止一些常见的反病毒软件的运行,并删除这些反病毒软件的病毒数据库,而且在每月6日会将文件大小置零(相当于删除文件且不可恢复)或者用病毒码覆盖文件!
一般带毒的邮件标题是随机的,可能是以下列出的标题或者更多,甚至可能是空标题:
A WinXP patch
ALIGN
Document End
Eager to see you
From
Fw:
HEIGHT
Happy Lady Day
Happy good Lady Day
Happy nice Lady Day
Have a good Lady Day
Have a humour Lady Day
Hello,
Hi,
Hi,spice girls' vocal concert
Re:
Return
Returned mail--"Document End "
Undeliverable mail--"..."
Undeliverable mail--"IIS services with this Web administration tool."
邮件内容也是随机的,可能是下列内容,也有可能是空的:
Congratulations
Darling
Don't drink too much
Eager to see you
Honey
Introduction on ADSL
Japanese girl VS playboy
Japanese lass' sexy pictures
Let's be friends
Look,my beautiful girl friend
Meeting notice
Please try again
Some questions
Sos!
The Garden of Eden
how are you
questionnaire
spice girls' vocal concert
welcome to my hometown
your password
附件的名称也是随机的,而且是双重后缀名,最后的后缀名一般是.EXE、.PIF、.COM、.BAT、.SCR 和 .RAR。
如果Outlook或者IE没有打相应的补丁,不慎打开或者预览带毒的邮件的话,病毒就会被自动激活。而病毒会很巧妙的把带毒的附件注册为audio/x-wav 或者 audio/x-midi(都是多媒体类型),所以,即使附件是一些.exe后缀名的文件,Windows也会用一些多媒体播放软件来打开附件,往往会出现一段“没有足够内存运行*****.***程序……”的错误提示,但病毒此时已经被激活了:
当病毒激活后,会生成%System%\Wink***.exe(注:%System%指的是系统目录,一般是\Windows\System或者\Winnt\System32;***代表随机的字符,如病毒可能生成的是WINKIDT.EXE 或者 WINKKR.EXE等)。同时病毒修改注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 或HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Wink***=wink***.exe
这样每次启动计算机的时候病毒都会被激活。同时,该病毒在%System%目录下生成一个名为W32.Elkern.3587的木马程序%System%\wqk.exe(Windows 9x/ME)或者%System%\wqk.dll(Windows 2000/XP)。病毒还会在注册表生成有关的注册表项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink***(***代表随机的字符,和上面所说的病毒生成的文件名相对应)
接着病毒就会试图中止以下反病毒程序的运行:
ACKWIN32
ALERTSVC
AMON
ANTIVIR
AVCONSOL
AVE32
AVGCTRL
AVP32
AVPCC
AVPM
AVPTC
AVPUPD
AVWIN95
Antivir
CLAW95
DVP95
F-AGNT95
F-PROT95
F-STOPW
FP-WIN
IOMON98
LOCKDOWN2000
Mcafee
N32SCANW
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
NAVWNT
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NVC95
Norton
PCCWIN98
SCAN
SCAN32
SWEEP95
TASKMGR2
VET95
VETTRAY
VIRUS
VSHWIN32
_AVP32
_AVPCC
_AVPM
同时删除这些反病毒软件在注册表中的启动项和病毒数据库文件:
AGUARD.DAT
ANTI-VIR.DAT
AVGQT.DAT
CHKLIST.DAT
CHKLIST.MS
IVB.NTZ
SMARTCHK.CPS
SMARTCHK.MS
接着病毒会将自身复制到本地硬盘、映射盘和局域网的共享硬盘(完全共享)上,复制的文件名都是双重后缀的文件名,第一个后缀名一般是以下这些:
BAK
BAT
C
CPP
DOC
EXE
HTM
HTML
MP3
MP8
MPEG
MPQ
PAS
PIF
SCR
TXT
WAB
XLS
第二个后缀名一般是以下这些:
BAT
COM
EXE
PIF
RAR
SCR
例如:带毒的文件名可能是filename.txt.exe或者filename.SCR.RAR等。
此外,病毒会在Windows地址簿、ICQ数据库和以下一些文件中搜索邮件地址:
BAK
BAT
C
CPP
DOC
EXE
HTM
HTML
MP3
MP8
MPEG
MPQ
PAS
PIF
SCR
TXT
WAB
XLS
并向这些邮件地址发送带毒的电子邮件,发送的带毒附件的文件名格式如上,而发送这些电子邮件病毒一般是使用它自己本身的SMTP引擎,也可能会用到染毒计算机上可利用的SMTP服务器。一般带毒的电子邮件发件人地址被设为如下地址,不过也有可能是其他的一些地址:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
es [email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
ol-petech@terra.
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
病毒会修改一些可执行文件,当病毒感染可执行文件时,首先会创建一个该文件的副本(不带病毒),并将该副本改为隐藏属性(也就是隐藏了原来正常的文件),且副本的后缀名也被改成是随机的;创建好副本之后,病毒就会用病毒码覆盖原来正常的文件,当用户试图运行程序的时候,病毒就会被激活,同时病毒会临时创建一个文件名和原来程序相对应并带有~1的程序,并运行,使得用户不会发觉程序已经被病毒修改了,当程序运行结束后,病毒会将临时生成的文件删除。例如,有个file.exe的执行文件,当被病毒修改后,就可能会有file.exe和file.fxp两个文件,file.exe就是病毒程序,file.fxp就是原来正常的程序,且被隐藏了。当运行file.exe的时候,病毒就会被激活,同时生成一个file~1.exe程序,程序运行结束后,病毒就会将file~1.exe删除。
当系统的日期是单数月份(1、3、5、7、9、11月)的6日时,病毒就会发作!如,系统的日期如果是1月6日或者7月6日,病毒就会将所有文件大小置零(相当于删除文件且不可恢复)或者用病毒码覆盖文件!如果其他单数月份的6日,病毒就会将以下后缀名结尾文件大小置零或者用病毒码覆盖文件:
bak
c
cpp
doc
htm
html
jpg
mp3
mpeg
mpg
pas
txt
wab
xls
该病毒代码中还带有以下一段声明:
Win32 Klez V2.0 & Win32 Elkern V1.1, (There nickname is Twin Virus *^__^*
Copyright, made in Asia, announcement:
1. I will try my best to protect the user from vicious virus, Funlove,Sircam,Nimda,Codered, and even include W32.Klez.1.X
2. Well paid jobs are wanted.
3. Poor life should be unblessed.
4. Don’t accuse me, please accusse the unfair shit world.
预防方法:
1、从以下网址相应的补丁或者将IE和Outlook升级到6.0版本以上:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
2、将反病毒软件升级到最新的版本。
3、取消不必要的共享,如果必须要共享的话,建议只设置只读属性,并设置共享密码!
紧急清除方法:
1、临时修改系统日期(非单数月6日);
2、删除带毒的电子邮件;
3、暂时取消所有的共享,并断开网络;
4、重新启动计算机进入安全模式,运行clrav.com或者fix_klez.com进行查杀病毒;
5、杀毒后将系统恢复正常日期,恢复连接网络,取消不必要的共享,如果必须要共享的话,建议只设置只读属性,并设置共享密码!
附注:
1、被病毒破坏的文件已经不可恢复的了;
2、clrav.com下载地址:
http://cnav.myrice.com/avsoft/clrav.zip
fix_klez.com下载地址:
http://www.antivirus.com/vinfo/security/fix_klez.com
*资料整理:聊毒斋 Emil
2002/03/06第一次整理
2002/03/07第二次整理 修改了一下清除方法
2002/03/08第三次整理 修正了病毒发作日期,修改预防方法和清除方法
2002/03/16第四次整理 增加查杀工具fix_klez.com
*转载请注明出处,尊重作者的劳动!
----
谨代表个人观点,如有异议或疑问,欢迎提出,我们互相学习,共同进步,谢谢!
网易(广州)社区病毒版
http://cnav.myrice.com or http://cnav.533.net
Email: [email protected]
QQ:201604 |
|