病毒
科學
國內著名反病毒及信息安全企業瑞星公司通過全球反病毒監測網截獲到“求職信”病毒的最新變種(Klez.K/L),在短短的兩天內,此變種病毒就通過電子郵件大規模擴散,其傳播速度之快,危害之深,讓許多用戶措手不及,在之後的一周時間,瑞星的技術服務部進入了“緊急戰備時期”。截止到4月24日,共接待上門用戶300餘人,求助電話8780個,求助郵件6100封。病毒名稱:求職信變種(Klez.K/L)
病毒類型:蠕蟲病毒
傳播方式:郵件
危害等級:★★★★★
病毒介紹:
“求職信”病毒屬於蠕蟲病毒,於2001年的11月首次在國內出現,之後每逢奇數月13日發作。由於此病毒多以求職為郵件內容,所以很容易迷惑用戶。本次截獲的“求職信”變種,在原病毒的基礎上增加了更多的工作執行緒,病毒體內包含大量加密字元串。由於此病毒能提升自身的運行級別,使得一般程式無法結束或訪問它的進程,包括Windows自帶的任務管理器,因此無法手工清除此病毒。
病毒在得到運行後,首先提升自身的運行級別,然後將自己複製到Windows系統目錄下,檔案名稱總以Wink開頭,同時還會放出一個小病毒體(Win32.Foroux.exe),最後分別運行它們並退出。當病毒被自己再次運行時,已處於系統目錄下,它不再複製自身,而是創建7個病毒執行緒,並以系統服務的形式駐留記憶體。從以上情況可以看出,此次出現的求職信變種病毒具有更大的隱蔽性與破壞力。
發作現象及解決方案:
此次的“求職信”變種來勢兇猛,它主要以電子郵件的形式傳播,其信件主題內容多樣,而病毒郵件附屬檔案的擴展名則以:txt、htm、html、wab、doc、xls、jpg、cpp、mpg、mpeg、bak、mp3為主。因此,當用戶收到具有以上特徵的英文信件時,需謹慎處理!
同時,此次的變種病毒較之以往的“求職信”病毒具有以下特點:
可自動搜尋所有系統正運行的進程,殺掉對它有威脅的進程。在本地硬碟搜尋一些著名防毒軟體的數據檔案,發現後立即後刪除,導致它們無法運行。(3)感染註冊表中某些已登記安裝了的軟體,例如Explorer,WinZip,WinRAR,OutLook等。因為這些軟體比較常用,可保證病毒被激活。
(4)搜尋網路鄰居中的可寫資料夾,並將病毒體複製到其中,以便擴大傳染面積。
(5)通過自帶的SMTP客戶端程式向用戶地址簿的所有地址傳送帶毒郵件。郵件標題多為吸引人的標題。
(6)將小病毒體釋放到Program File目錄中,並啟動此小型病毒體(Win32 Foroux)。此小型病毒體是個典型的檔案型病毒,啟動後即開始全盤感染執行檔。
(7)在Windows的Internet臨時資料夾中搜尋對它有威脅的檔案,找到後立即刪除。從而阻止用戶上網升級或下載對付它的程式。
由於此次病毒會刪除防毒軟體的主程式,以至於用戶無法升級防毒軟體,所以採用瑞星專殺版本是比較有效的方法,瑞星專殺版本的檔案名稱不固定,也可保證不含有敏感字元串,即使包含病毒識別的字元串,由於瑞星專殺版本的運行速度很快,在病毒發現它以前,病毒已被它殺掉,所以不怕此類病毒。
另一種方法是開啟瑞星郵件監控系統和瑞星記憶體實時監控系統進行實時攔截,任何企圖調用它們對主程式進行操作的代碼都會被攔截,提示用戶是否確認,這樣就杜絕主程式被刪或被停,這時就如同查殺普通病毒一樣了。