病毒別名
W32.Klez.A@mm【NAV】,I-Worm.Klez.c【AVP】
病毒介紹
處理時間:2001-10-26
威脅級別:★★★★
中文名稱:求職信
病毒類型:Win32病毒
影響系統:Win9x/ WinNT
病毒行為:
這是一個廣泛傳播的混合型蠕蟲病毒,主要通過郵件和網路共享傳播,危害極大。
1.首先將自己要用到的字元串解碼。
2.啟動一個執行緒不停的查詢記憶體中的進程.檢查是否有一些防毒軟體存在(如AVP/NAV/NOD/macfee等)。如果存在則將該防毒軟體的進程終止。每隔0.1秒就循環檢查進程一次,以至於這些防毒軟體無法運行。
3.接著病毒啟動另一個執行緒,用來創建一個名為WQK.EXE的檔案運行.拷貝到的目錄。然後將自身複製到的目錄。
4.然後修改註冊表,使自己的每次系統啟動都自動運行。
5.將自己註冊為系統的服務進程。
6.啟動一個執行緒用於傳送郵件,病毒再次利用Nimda病毒利用的Iframe ExecCommand漏洞,使沒有打IE補丁的用戶收到郵件後會自動運行。病毒會隨機選取以下語句作為郵件主題:
Hi
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don’t Cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don’t you reply to me?
How about have dinner with me together?
Never kiss a stranger
郵件正文部分為空,但編碼中有一段注釋:
I’m sorry to do so,but it’s helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than ,500.
What do you think of this fact?
Don’t call my names,I have no hostility.
Can you help me?
基於該病毒的這個信息,金山毒霸命名為WANTJOB病毒,全稱為:Worm.wantjob.57345。
7.啟動感染網上鄰居的執行緒。該執行緒發現可寫的已分享資料夾時,會隨機生成一個檔案名稱,並將病毒自身進行加密,用該檔案名稱將病毒複製過去。然後Sleep8小時再感染一次。檔案的長度會有60168.60169等的變化。檔案名稱的生成規則:
第一部分隨機生成的名字為字母或數字,最後補一個“。”,
第二部分在Htm.Doc.Jpg.Bmp.Xls.Cpp.Html.Mpg.Mpeg中選擇一個。
第三部分補上exe作為擴展名。
8.啟動26個執行緒,遍歷硬碟.網路盤一遍找滿足擴展名需求的檔案,這個檔案名稱將用於郵件傳送
9.進入一個循環,檢查本地的時間,如果時間為1月13日,則馬上啟動26個破壞執行緒,該執行緒查找硬碟上的所有檔案,並用記憶體中的數據覆蓋硬碟上的檔案。
