发信人: emil(稻草人)
整理人: emil(2002-08-02 07:55:28), 站内信件
|
W32.Klez.H@mm
病毒名称:W32.Klez.H@mm
别名: I-Worm.Klez.h, I-Worm.W32/Klez.gen@MM, W32.Klez.gen@mm, W32/Klez-G, W32/Klez.G@mm, W32/Klez.I, W32/Klez.K-mm, W32/Klez.gen@MM, W32/Klez.h@MM, WORM_KLEZ.G, Worm.wantjob.81936
危险等级:中
传播速度:快
传播范围:中
发现时间:2002/04/17
长度: 大约90kB
发作时间:随时
感染症状:计算机系统和网络速度严重变慢,甚至出现死机情况
发作症状:大量发送电子邮件,生成大量的双重后缀名的病毒文件
病毒类型:蠕虫
感染对象:.exe文件
传播途径:电子邮件和局域网
病毒介绍:
W32.Klez.H@mm病毒是W32.Klez.E@mm病毒的一个变种,该病毒能通过电子邮件和局域网大量的传播,并可以感染别的文件。
W32.Klez.H@mm病毒发送的电子邮件标题、内容和附件都是随机的,当收到带毒的电子邮件,如果IE没有打上相应的补丁病毒就会自动运行激活。如果IE打了补丁或者升级到了6.0版本,会出现“文件下载”的提示框,出现“打开”、“保存”、“取消”、“详细信息”等选项。感染病毒后,计算机系统和网络速度就会严重变慢,甚至出现死机情况。请浏览以下网页为IE打上相应的补丁:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
当病毒被激活后,它就会创建一个病毒体文件:
\%System%\Wink<随机字符>.exe
注:%System%指的是系统目录,一般是\Windows\System或者\Winnt\System32,病毒体的文件名有可能是Winkrgb.exe、Winkdlw.exe等等。
然后在注册表启动项中添加病毒体相应的启动项:
Win9x/Me系统:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinNT/2000/XP系统:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[随机字符]
键值
Wink<随机字符>=%System%\Wink<随机字符>.exe
这样在系统每次启动的时候病毒都会被自动激活,在WinNT/2000/XP系统下病毒是作为一个服务启动。
病毒还会试图中止一些常见的防病毒软件的运行和以前一些常见病毒的运行(包括W32.Nimda和CodeRed“红色代码”),如果防病毒软件没有及时更新,就会被病毒中止并失效。同时病毒还会删除一些防病毒程序在注册表中的启动项及其病毒定义码文件:
Aguard.dat
Anti-Vir.dat
Avgqt.dat
Chklist.cps
Chklist.dat
Chklist.ms
Chklist.tav
Ivb.ntz
Smartchk.cps
Smartchk.ms
同时病毒还会禁止以下程序的运行或者删除以下一些程序:
_AVP32
_AVPCC
_AVPM
*SCAN* (包含SCAN字符串的程序)
*VIRUS* (包含VIRUS字符串的程序)
ACKWIN32
ALERTSVC
AMON
ANTIVIR
AVCONSOL
AVE32
AVGCTRL
AVP32
AVPCC
AVPM
AVPTC
AVPUPD
AVWIN95
Antivir
CLAW95
DVP95
F-AGNT95
F-PROT95
F-STOPW
FP-WIN
IOMON98
LOCKDOWN2000
Mcafee
N32SCANW
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
NAVWNT
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NVC95
Norton
PCCWIN98
SCAN32
SWEEP95
TASKMGR
VET95
VETTRAY
VSHWIN32
病毒会通过局域网和电子邮件进行传播:
在局域网中,这个蠕虫将自身大量的拷贝到本地硬盘、映射盘和局域网共享目录上,所拷贝的文件名如下:
a. 双重后缀名的可执行文件,如Filename.txt.exe;
b. 双重后缀名的.rar文件,如Filename.txt.rar。
这样显示的时候就是可执行文件或者是压缩文件的图标。
通过电子邮件:病毒会通过搜索Windows的地址簿、ICQ数据库和本地机上文件中电子邮件地址,然后病毒就会把带毒的电子邮件发给这些邮件地址,病毒会使用自身所带有的SMTP引擎和本地机上所能用到的SMTP服务器发送带毒的电子邮件。
邮件的发件人、标题、内容和附件都是随机的,发件人的地址是在被感染的计算机上随机找的一个电子邮件地址。病毒会在以下后缀名的文件中查找电子邮件地址:
.mp8
.exe
.scr
.pif
.bat
.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf
而病毒的会随机的选择本地机上的文件作为邮件附件,附件的后缀名可能是以下后缀:
.mp8
.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf
一般病毒发送的带毒电子邮件都会有至少两个附件,一个是上述的随机文件,另外一个就是病毒文件。
邮件内容是随机的字符,邮件的标题也是随机的,也或许是以下的标题内容:
Undeliverable mail--"[随机字符]"
Returned mail--"[随机字符]"
a [随机字符] [随机字符] game
a [随机字符] [随机字符] tool
a [随机字符] [随机字符] website
a [随机字符] [随机字符] patch
[随机字符] removal tools
Your password
congratulations
darling
eager to see you
honey
how are you
introduction on ADSL
japanese girl VS playboy
japanese lass' sexy pictures
let's be friends
look,my beautiful girl friend
meeting notice
please try again
questionnaire
so cool a flash,enjoy it
some questions
sos!
spice girls' vocal concert
the Garden of Eden
welcome to my hometown
上述的标题随机字符可能是以下这些:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky
在病毒体中还包含以下的字符串:
Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing
同时,W32.Klez.H@mm病毒还夹带了另外一个病毒W32.Elkern.4926,同时在\%Program Files%(程序文件目录,一般是\Program Files)生成一个随机名的病毒文件,并激活它,关于该病毒请参阅相关的病毒资料。
预防方法:
1、升级防病毒软件的最新病毒定义文件!
2、浏览以下网址查阅有关IE漏洞的资料,下载并打上相关的IE补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
或者升级到IE6.0以上的版本。
3、取消所有的网络共享,如果必须要设置共享,请设置相关密码。
4、当打了相关的IE补丁程序或者升级了IE之后,如果收到一些可疑的电子邮件(一般浏览这些可疑邮件就会提示“打开”、“保存”等信息),千万不能运行这些程序,同时请立即将这些带毒的电子邮件删除。
清除方法:
1、建议从以下网址下载专门的工具进行查杀:
http://securityresponse.symantec.com/avcenter/FixKlez.com
将这个工具保存到本地硬盘上,同时记住下载最新的病毒定义文件,准备升级用。
2、取消所有网络共享;
3、重新启动进入安全模式,然后运行FixKlez.com工具,然后点击"Start"按钮进行杀毒,同时这个工具会生成一个fixklez.txt报告文件,该文件记录了该工具查杀病毒的结果。
4、杀毒后重新启动计算机;
5、如果您的反病毒软件被病毒破坏了导致不能正常启动,请卸装再重新安装,并升级到最新的病毒定义。
6、升级完毕之后,请用反病毒软件再全面检查一遍,确认已经清除病毒。
*资料整理:聊毒斋 Emil
2002/05/09 第一次整理
*转载请注明出处,尊重作者的劳动!
---- 谨代表个人观点,如有异议或疑问,欢迎提出,我们互相学习,共同进步,谢谢!
网易(广州)社区病毒版
http://cnav.myrice.com or http://cnav.533.net
Email: [email protected]
QQ:201604 |
|