病毒機理
攻擊原理
“求職信”病毒會利用MS Outlook或Outlook Express的漏洞,當用戶打開或預覽帶毒的電子郵件時,病毒就會自動運行。
病毒被運行後會在本地計算機上生成帶毒檔案( 大約80kb)和一個名為( W32.Elkern.3587)的病毒,同時會中止一些常見的反病毒軟體的運行,並刪除這些反病毒軟體的病毒資料庫。
該病毒感染Windows NT/2000系統計算機,即把自己註冊為系統服務進程,反病毒軟體很難清除。它還不停地向外傳送郵件,偽裝成 (Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg)類型檔案中的一種,檔案名稱也是隨機產生的。
當計算機時間為每年單月13日時,該病毒將會自動搜尋硬碟,用記憶體中的隨機數據覆蓋硬碟上的所有檔案。
病毒構成
“求職信”病毒基本分為兩部分:一部分是狹義上的病毒,它感染PE結構檔案,病毒大小約為3K,用彙編語言編寫;第二部分是蠕蟲大小為56K,它在運行中會釋放並運行一個11722位元組的帶毒的PE檔案。第二部分是用VC++編寫的,它只可以在WINDOWS9X或WINDOWS2000上運行,在NT4上無法運行。
運行過程
病毒部分
一、解密後面的代碼長度258H位元組
二、然後病毒在記憶體中查找KERNEL32模組,並根據名字的檢驗字找到一大批函式入口,這些函式供後面的代碼調用。
三、申請記憶體,將所有代碼拷貝到申請的記憶體
中,並轉申請的記憶體執行。
四、查檢有無調試程式(調IsDebugPresent函式),如在調試程式下運行,終止病毒代碼,返回到原宿主程式(如果是配套的木馬,則返回到作業系統)。
五、啟動感染代碼,如未在調試程式下運行,在SYSTEM(由GetSystemDirectory)目錄感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。
六、將當前進程註冊為服務進程。
七、創建感染執行緒,根據系統時間,如果為13號且為3月或9月,感染所有硬碟或網路盤檔案。否則感染系統目錄。某些條件下創始的感染執行緒會啟動另一個感染執行緒,直到系統崩潰。
八、如果是NT作業系統,同時感染所有網路鄰居。
九、返回宿主或作業系統。
木馬部分
一、解碼所有字元串。
二、改變當前進程訪問許可權。
三、啟動執行緒1,執行緒1的作用如下:
檢查當前所有進程,如果有以下進程(部分匹配),則終止這些進程:
_AVP32,_AVPCC,_AVPPM,ALERTSVC,AMON
AVP32,AVPCC,AVPM,N32SCANW,NAVAPSVC,
NAVAPW32,NAVLU32,NAVRUNR,NAVW32,NAVWNT,
NDD32,NPSSVC,NRESQ32,NSCHED32,NSCHEDNT,
NSPLUGIN,SCAN,SMSS
如果是WINDOWS9X系統,將當前程式設為自啟動(Software\Microsoft\Windows\CurrentVersion\Run)執行緒永不終止。
四、啟動執行緒2,作用是複製自己,運行後刪除,然後執行緒終止。
五、在系統目錄中創建KRNL32.EXE,如果是9X,運行它,並將它放入Software\Microsoft\Windows\CurrentVersion\Run中自動運行。如果是2000系統,將它作為Service啟動。
六、創建執行緒3,傳送EMAIL。
創建執行緒4,感染網路所有已分享檔案,每8小時搜尋一次。
創建執行緒5,搜尋磁碟檔案。
創建執行緒6,檢查當前日期是否為奇數月的13號,如是,將所有檔案複製一次,執行緒5小時運行一次,永不退出。
病毒特徵
隱蔽性
不會感染作業系統保護的檔案,以防止系統提示用戶。打開進程通過( explorer)進程進行感染,導致其它進程運行錯誤。病毒利用檔案系統進行感染,此病毒創建名為 (WQK)的命名記憶體映象,並將病毒體置於其中,用於進程感染。
該病毒的英文標題通常是以下幾種情況:
Hi
Hello
Howareyou?
Canyouhelpme?
Wewantpeace.
Wherewillyougo?
Congratulations!!!
Don'tcry.
Lookatthepretty.
Someadviceonyourshortcoming.
FreeXXXPictures.
Afreehotpornsite.
Whydon'treplytome?
Howabouthavedinnerwithmetogether?
信的正文為:
I'msorrytodoso,butit'shelplesstosaysorry.
Iwantagoodjob,Imustsupportmyparents.
Nowyouhaveseenmytechnicalcapabilities.
Howmuchmyyear-salarynow?NOmorethan$5,500.
Whatdoyouthinkofthisfact?..Don'tcallmynames,Ihavenohostility.
Canyouhelpme?
該病毒中文版的郵件標題包括以下幾種:
“我喜歡你!”、“您好”、“恭喜!”、“節日快樂”、“你中獎了”、“你的朋友”、“同學聚會”、“祝你生日快樂”、“你的朋友給你寄來的賀卡”等。
郵件正文包括以下幾種:
“just for my father !”、“我是程式設計師”,“我需要一份工作!”、“我需要一份工作!”、“我喜歡你!”、“你的朋友”、“同學聚會”、“我要逃離大學”等。
破壞性
加密保存用戶檔案,造成用戶程式使用不正常。影響了( EXPLORER)等進程的正常工作,導致用戶使用中經常出現非法操作。亂髮郵件加重郵件系統負荷。
傳播方式
此病毒的傳播途徑有通過郵件附屬檔案,網路鄰居或者映射的網路驅動器。
此病毒與Nimda病毒同樣利用Iframe ExecCommand漏洞,使沒有打IE補丁的用戶收到郵件後會自動運行,病毒具有非常強的傳播性。
第一種:通過INTERNET郵件,它搜尋當前用戶的地址簿檔案中的類郵件地址的文本內容,或隨機計算郵件地址,通過WINDOWS的SOCKET函式集用SMTP伺服器傳送自己這個帶毒木馬,郵件檔案是由木馬部分形成,並且該郵件會在OUTLOOKEXPRESS下自動執行,它的主題是隨機的。
第二種:通過網路鄰居,它搜尋所有的網路連線,查找已分享資料夾,將自己的檔案放到享目錄中,並試圖讓遠程計算機將它作為一個服務啟動。通過區域網路傳播帶毒檔案一般都是雙重後綴名。
第三種:通過磁碟傳播,它創建專門的執行緒感染磁碟,如果當前日期奇數月的13號,將找到的檔案內容進行複製。
第四種:病毒感染。
中毒症狀
感染“求職信”病毒後,機器速度變慢,系統資源明顯減少,硬碟可用空間急劇減少。
因為病毒占用大量的系統資源,會使得計算機變慢,經常出現“沒有足夠記憶體運行......程式……”錯誤提示 。還可能將一些檔案大小置零 (相當於刪除檔案不可恢復)或者用病毒碼覆蓋檔案,而縣被破壞的檔案不可恢復。
病毒變種
WORM_KLEZ.G
2002年4月求職信病毒變種 (WORM_KLEZ.G )的新病毒,利用電子郵件方式,正迅速在全球各地擴散。尤以亞洲地區最為嚴重,日本、台灣等地約有數萬台計算機陷入癱瘓。
”求職信” ( TROJ_KLE.Z或PE_ELKERN)病毒於2001年10月底出現,該病毒具有計算機蠕蟲的特性,造成全球災情嚴重!
該變種病毒不同於以往病毒攻擊方式,以往病毒是通過e-mail傳播並且執行e-mail附屬檔案才會感染,該變種病毒攻擊手法惡劣,用戶只要預覽此病毒信件,不執行任何附加檔案,就已經受到病毒感染。用戶一旦中毒,病毒便會大量寄發郵件給通訊簿中的人,造成伺服器的負荷。
Worm.Klez.L
Worm.Klez.L是種蠕蟲病毒,病毒體內包含大量加密字元串。由於此病毒能提升自身的運行級別,使得一般程式無法結束或訪問它的進程,包括Windows自帶的任務管理器。因此無法手工清除此病毒。
Worm.Klez.L的最大特點在於其抑制防毒軟體的能力大為提高,甚至包括一些著名病毒(它的早期版本),只要是阻礙Worm.Klez.L傳播的軟體它都不放過。它通過註冊表和記憶體兩方面破壞這些軟體。
病毒應對
病毒檢測
windows系統
在系統目錄下檢查是否包含wqk.exe和Krn132.exe兩個檔案,如有則可判定感染病毒。
運行Regedit,展開 HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\ Run \,檢查其中是否包含WINDOWS\SYSTEM\KRN132.EXE和WINDOWS\SYSTEM\WQK.EXE,有則可判定感染病毒。
病毒預防
切斷網路,禁止網路共享或給網路已分享資料夾加上口令。
下載系統的補丁或將IE和Outlook升級。
病毒清除
防毒軟體升級。臨時修改系統日期,重新啟動計算機進入安全模式,直接運行clrav.com進行自動查殺病毒。