簡介
Worm.Klez.L是種蠕蟲病毒,病毒體內包含大量加密字元串。由於此病毒能提升自身的運行級別,使得一般程式無法結束或訪問它的進程,包括Windows自帶的任務管理器。因此無法手工清除此病毒。特性
病毒在得到運行後,首先提升自身的運行級別,然後將自己複製到Windows系統目錄下, 檔案名稱總以Wink開頭,同時還會放出一個小病毒體(Win32.Foroux.exe),最後分別運行它們並退出。當病毒被自己再次運行時,它會發現自身已處於系統目錄下,此時病毒運行線路發生改變,它不再複製自身,而是創建7個病毒執行緒,並以系統服務的形式駐留記憶體。病毒的7個執行緒分別完成以下任務。
(1) 遍歷所有進程,殺掉對它有威脅的進程。稍後再作詳細介紹。
(2) 在本地硬碟搜尋一些著名防毒軟體的數據檔案,發現後立即後刪除,導致它們無法運行。
(3) 感染註冊表中某些已登記安裝了的軟體,例如Explorer,WinZip,WinRAR,OutLook等,因為這些軟體比較常用,可保證病毒被激活。
(4) 搜尋網路鄰居中的可寫資料夾,並將病毒體複製到其中,以便擴大傳染面積。
(5) 通過自帶的SMTP客戶端程式向用戶地址簿的地址傳送帶毒郵件。郵件標題多為吸引人的標題。例如Christmas , Hope等。此郵件在老版本系統上會自動執行附屬檔案。
(6) 將小病毒體釋放到Program File目錄中,檔案名稱隨機,並啟動此小型病毒體(Win32 Foroux).病毒Win32 Foroux是個典型的檔案型病毒,啟動後即開始全盤感染執行檔。由於病毒會識別受Win2K,WinXP的系統認證保護的檔案,所以在病毒感染系統目錄時,不會引起警報對話框。
(7) 在Windows的Internet臨時資料夾中搜尋對它有威脅的檔案,找到後立即刪除。從而阻止用戶上網升級或下載對付它的程式。
病毒新增特點:
Worm.Klez.L的最大特點在於其抑制防毒軟體的能力大為提高,甚至包括一些著名病毒(它的早期版本),只要是阻礙Worm.Klez.L傳播的軟體它都不放過。它通過註冊表和記憶體兩方面破壞這些軟體。
在啟動時,它會遍歷應用程式登記的安裝路徑。只要發現含有以下字元串,立刻刪除所對應的鍵值。
_AVP32_avpccNOD32NPSSVCNRESQ32NSCHED32
NSCHEDNTNSPLUGINNAVNAVAPSVCNAVAPW32NAVLU32
NAVRUNRNAVW32_AVPMALERTSVCAMONAVP32
AVPCCAVPMN32SCANWNAVWNTANTIVIRAVPUPD
AVGCTRLAVWIN95SCAN32VSHWIN32F-STOPWF-PROT95
ACKWIN32VETTRAYVET95SWEEP95PCCWIN98IOMON98
AVPTCAVE32avconsolFP-WINDVP95F-AGNT95
CLAW95NVC95SCAN VIRUSLOCKDOWN2000Norton
McafeeAntivirTASKMGR
這些字元串幾乎覆蓋了世界上所有的防毒軟體。
當病毒駐留記憶體後,病毒體內的一個執行緒不停地搜尋其他進程,只要在其一個模組中搜到以下一個字元串,立刻結束其運行。
Nimda(尼姆達) CodeRed(紅色代碼) WQKMM3878(Klez) GRIEF3878
Fun Loving Criminal Norton(諾頓) Mcafee Antivir
Avconsol F-STOPW F-Secure Sophos
Virus(最常見) AVP Monitor (AVP) AVP Updates(AVP) InoculateIT
PC-cillin(趨勢) Symantec(諾頓) Trend Micro(趨勢) F-PROT
NOD32
更可惡的是Worm.Klez.L還把此進程所對應的程式檔案也給刪除了。 由於防毒軟體和某些工具的代碼塊或數據塊中常包含此類字元串。並且病毒每次輪詢的間隔只有64毫秒(加上搜尋的時間也不過幾秒)。在它之後啟動的防毒軟體在點防毒按鈕前就已被幹掉。以至於無法帶毒防毒。
有趣的是病毒作者在其病毒體內還特意留下了一大段吹噓自己病毒的語句:
Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.Because of its very smart stealth and anti-anti-virus technic most common AV software can't detect or clean it.We developed this free immunity tool to defeat the malicious virus.You only need to run this tool once,and then Klez will never come into your PC.NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.If so,Ignore the warning,and select 'continue'If you have any question,please mail to me.
Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks
from having such idea to accomplishing coding and test
中文翻譯如下:
Klez.E是最常見的全球性傳播蠕蟲。因其在隱秘和反反病毒技術方面的高度智慧型,使得它在破壞你的檔案時十分危險。絕大部分的反病毒軟體不能夠發現或者清除它。我們開發這種免費的免疫工具用以對抗惡性病毒。你只需要運行一次這種工具,Klez就再也不會進入你的個人電腦。
注意:因為這個工具以虛擬一個Klez的方式來欺騙真正的蠕蟲,所以一些反病毒實時監控可能會在您運行它時發出警報。如果這樣,跳過這個警告,並選擇‘continue’。如果你仍有問題,請與我mail聯繫。
Win32 klez 2.01版和 Win32 Foroux 1.0版
Copyright 2002,made in Asia
關於Klez 2.01版
1、主要任務是發表一個新的子PE病毒:Win32 Foroux
2、沒有重大變化,沒有修改Bug,沒有任何表現模組
關於Win32.Foroux
1、完全兼容於Win9X/2K/NT/XP等作業系統的Win32 PE病毒
2、沒有任何表現模組,沒有任何最佳化;
3、未釋放Bug---是因為從有這個想法到完成編碼及測試僅用了不超過3周時間就匆匆完成
作者雖然把Klez說成是個良性病毒,可以免疫其他病毒.但事實上它會刪除你的檔案, 並且它所謂的免疫只是把帶有Nimda,Sircam,CodeRed等字元串的進程殺死,這種方法根本無法阻止其它病毒的傳染(就連這3種都不徹底)。
病毒的清除
此病毒會刪除防毒軟體的主程式,以至於用戶無法升級防毒軟體,所以採用瑞星專殺版本是比較有效的方法
,瑞星專殺版本檔案名稱不固定,也可保證不含有敏感字元串,即使包含病毒識別的字元串,由於瑞星專殺版本的運行速度很快,在病毒發現它以前,病毒已被它殺掉,所以不怕此類病毒。