簡介
求職信新變種W32.Klez.H@mm病毒大小:大約90K
瑞星命名:Worm.Klez.L
特性
W32.Klez.H(Worm.Klez.L)是一個被更改過的W32.Klez.E@mm,這個變種可以通過Email和網路共享傳播,感染檔案。
如果病毒被運行後,病毒會將自身拷貝到SYSTEM目錄下取名為Wink【隨機字元】.exe。
病毒在註冊表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
下添加:
Wink【隨機字元】 %System%\Wink【隨機字元】.exe
或者創建:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink【隨機字元】並添加一個鍵值,使得系統啟動時病毒也可以運行。
病毒試圖通過停止一些進程來終止反病毒軟體以及阻止一些蠕蟲的運行,病毒會刪除下列檔案:
Anti-Vir.dat
Chklist.dat
Chklist.ms
Chklist.cps
Chklist.tav
Ivb.ntz
Smartchk.ms
Smartchk.cps
Avgqt.dat
Aguard.dat
病毒還會將自身拷貝至本地、映射網路驅動器中,檔案名稱可能為:
雙擴展名的隨機檔案,如Filename.txt.exe
雙擴展名的.rar檔案,如Filename.txt.rar
病毒會搜尋Windows地址簿、ICQ資料庫及本地檔案中的所有郵件地址,並將自己作為郵件的附屬檔案傳送給上述郵件地址,病毒有自己的SMTP引擎。
帶毒郵件的主題、郵件正文、附屬檔案名稱都是隨機的,其郵件來源(From:項)是從被感染機器上所找到的郵件地址中隨機選取的。
病毒從如下後綴名的檔案中搜尋郵件地址:
.MP8
.exe
.scr
.pif
.bat
.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf
郵件標題可能為:
Undeliverable mail--"【隨機字元】"
Returned mail--"【隨機字元】"
a 【隨機字元】 【隨機字元】 game
a 【隨機字元】 【隨機字元】 tool
a 【隨機字元】 【隨機字元】 website
a 【隨機字元】 【隨機字元】 patch
【隨機字元】 removal tools
how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures
其中【隨機字元】可能是下列之一:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky
郵件正文的內容是隨機的。
如果在未打補丁的Outlook或Outlook Express中打開病毒郵件,郵件附屬檔案會自動運行。
病毒感染執行檔時先創建一個待感染檔案的副本,並將檔案副本加密,但該副本中不含病毒代碼,檔案副本與原檔案名稱相同,但是擴展名是隨機的。然後病毒將待染毒檔案用病毒覆蓋。
病毒會向Program Files目錄中釋放另一個病毒,檔案名稱隨機,並運行它。
