发信人: lili1885(傲世独孤)
整理人: emil(2002-09-09 14:13:20), 站内信件
|
求职信病毒变种III分析资料
发布时间:2002-04-24 09:41:48 来源:AV95III技术组
I-Worm.Klez
该蠕虫病毒通过电子邮件在网络上传播。蠕虫本身是一个Windows 可执行文件,大小(根据其版本的不同)约57-65KB,用VC++编写。
病毒邮件主题及附件是变化的(见下文),病毒利用了IE的一个安全漏洞(IFRAME),当用户预览邮件时,便会感染该蠕虫病毒。
运行:
当一个病毒文件运行时,该蠕虫将自身复制到Windows系统目录下并命名为"krn132.exe",然后它添加如下注册表键值以在WINDOWS启动时自动运行。
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Krn132 = %System%Krn132.exe
该病毒查找正在运行的程序(主要为反病毒程序,见下文列表)并利用Windows的"TerminateProcess"命令结束这些进程。
_AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC,
NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32,
NSCHEDNT, NSPLUGIN, SCAN, SMSS
传播途径一:e-mail
该蠕虫病毒利用SMTP协议发送e-mail,它在WAB数据库中查找e-mail地址并向这些地址发送病毒邮件。
病毒邮件主题可能会是以下几种:
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
内容如下:I'm sorry to do so,but it's helpless to say sory.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?
附件是W32 PE EXE文件,名称随机,扩展名为".exe"或双扩展名如"name.ext.exe"。
病毒使用其原始程序来选择附件文件名,它搜索所有的驱动器并查找有如下扩展名的文件:
.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg
它利用查找到的此类文件的文件名作为其病毒邮件附件的基础名称,再加上双扩展名".exe"。例如:"abcd.htm.exe","ef.xls.exe"。
该蠕虫病毒自己添加病毒邮件的"From:"域,根据随机的计数,病毒可能会填写其真实的地址,或者填写一个随机生成的地址。
该病毒一个有趣的特征是,在其发送病毒邮件之前,它会将发现的e-mail址列表写到它自己的EXE文件中。
病毒体中的所有字符(内容及地址)都被加密过。
传播途径二:本地及网络驱动器
该病毒会列举所有的本地及网络可写资源,并在此复复制其自身,命名规则类似于其附件的名称。在复制到网络上后,病毒会将其注册为远程机器的一个系统服务进程。
发作:
偶数月的13号,病毒会以随机内容填充被感染机器上所有的可写文件,这些文件只能从备份文件恢复。
其它版本:
该病毒作过几次修改,I-Worm.Klez.a-d非常相似。
Klez.e
安装:
病毒将自身复制到系统目录下,名称是以"Wink"开头的随机名,如"Windab.exe"。
感染:
病毒查找键值链接到其自身程序:
SoftwareMicrosoftWindowsCurrentVersionApp Paths
然后,病毒试图感染其发现的EXE程序,每当感染一个EXE文件,病毒会用该文件名加随机扩展名创建一个新文件,并将其属性设为 隐藏+系统+只读 。该文件用来运行病毒最初的感染程序。当被感染文件运行,病毒将最初文件解压缩到一个temp文件中然后运行它,文件名用其初始文件名加上"MP8"。
病毒通过将自身以随机名复制到RAR档案中来感染RAR文件,被感染的文件名如下:
setup
install
demo
snoopy
picacu
kitty
play
rock
有一个或两个扩展名,最后一个扩展名为".exe", ".scr", ".pif" or ".bat"。
传播:e-mail
病毒邮件主题如下或随机生成:
Hi,
Hello,
Re:
Fw:
how are you
let's be friends
darling
don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
主题也可能从以下内容中生成:
Undeliverable mail--%%
Returned mail--%%
a %% %% game
a %% %% tool
a %% %% website
a %% %% patch
%% removal tools
%%内容从以下列表中选取:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez
正文内容随机生成或为空。
附件:Win32 PE EXE文件,名称随机,以".exe"为扩展名或双扩展名。
病毒利用Iframe安全漏洞,使用户在预览邮件时便会被感染。
发作:
奇数月6日,病毒会向地及网络上所有可写文件填充随机内容,这些文件只能通过备份恢复。
其它:
病毒查找所有正在运行的进程,如果包含如下字符串,则结束它们:
Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32
病毒随机并根据不同的条件从本地硬盘上选择病毒邮件的附件。(也就是,病毒邮件有两个附件:病毒副本及附加文件)。病毒查找如下文件作为附件:
.txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .c .pas .mpg
.mpeg .bak .mp3 .pdf
结果是病毒可能会将私人或机密文件发送出去。
I-Worm.Klez.h
该变种极其类似于"Klez.e"。不同之处在于:
该变种并不破坏文件,病毒邮件内容及主题有更多变化,某些病毒邮件内容主题如下:
Worm Klez.E immunity
Klez.E is the most common world-wide spreading worm.It's very dangerous
by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most
common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into
your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some
AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me.
病毒还包含如下字符串:
Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from
having such idea to accomplishing coding and testing
清除方法:
1、 查找以下进程:Krn132.exe,将其杀掉
2、 打开注册表,进入HKLMSoftwareMicrosoftWindowsCurrentVersionRun,
把含有Krn132字符串的键值删除
3、 进入%SYSTEM%目录,删除以下文件:Wink*.exe
4、 用AV95III V3.30已可以清除该病毒
注解:
%WINDOWS%是系统文件夹:
如Windows 9x/Me为 x:Windows
Windows NT/2000/XP为 x:Winnt
%SYSTEM%是系统文件夹:
如Windows 9x/Me为 x:Windowssystem
Windows NT/2000/XP为 x:Winntsystem32
|
|