Worm.Klez病毒
這是一個通過INTERNET以及EMAIL附屬檔案傳播感染的蠕蟲類病毒。它本身是一個WINDOWS PE格式的可執行程式,大約在57-65K之間(依他的版本而定),是用MICROSOFT VISUALC++編寫。被感染訊息的題目與附屬檔案的名字是可變的,它利用了一個IE已知的安全漏洞(IFRAME vulnerability),當一個已經被感染的訊息打開時,他將自動啟動。它不僅在本地的網路散布並且通過電子郵件訊息傳播。它會在WINDOWS臨時資料夾下建立一個執行檔,名字為以字母K開頭的隨意一個的名字( 如KB180.exe )然後把“ Win32.Klez ”病毒寫進去,並且啟動該病毒。這個病毒在所有可利用的計算機的磁碟上感染大部分的WIN32下的PE格式的可執行程式。當一個已經感染的檔案被啟動,這個WORM把自己的一個副本複製到WINDOWNS系統資料夾下,命名為“krn132.exe”,他會把如下鍵值寫入註冊表(如下)並且隨WINDOWNS一起啟動。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Krn132 = %System%\Krn132.exe
其中%System%是系統資料夾的名字
當這個病毒尋找到以下運行中的應用程式,他將使用"TerminateProcess" 命令強制卸載他們。
_AVP32, _avpcc, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, smss
病毒有兩種傳播方式:
一、用EMAIL進行傳播病毒會使用SMTP協定傳送EMAIL訊息。他會在你的WAB資料庫中找到EMAIL地址,同時把含有病毒的訊息傳送給他們。
帶毒郵件的主題是從下面內容中隨機選出的:
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
郵件正文如下:
I'm sorry to do so,but it's helpless to say sory. I want a good job,I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? NO more than ,500. What do you think of this fact? Don't call my names,I have no hostility. Can you help me?
郵件的附屬檔案是隨意名字的WIN32下的PE格式執行檔,他用.EXE的擴展名,或雙擴展名(如:name.ext.exe)
它在所有可利用的驅動器中掃描以下擴展名的檔案:
.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg
它用所找到的檔案其中的一個作為附屬檔案的主檔案名稱,然後把它加上第二個檔案擴展名".exe",例如:"Ylhq.htm.exe", "If.xls.exe",等等
它會向感染訊息中插入一個“FROM”地址,該地址可能是隨機產生,或者是一個真實的EMAIL地址。
這個蠕蟲有一個非常有趣的特點:在這個被感染訊息傳送以前,把找到的EMAIL列表寫入到它本身的可執行程式中。
病毒體內的所有字元串(訊息與地址)都是以加密狀態進行存儲。
二、在本地驅動器與網路驅動器之間傳播
病毒會WORM枚舉所有具有寫許可權的本地驅動器與網路驅動器,複製一個隨機命名的副本到找到的本地驅動器與網路驅動器,(隨機命名的方式與附屬檔案命名的方式相似)然後病毒把自己作為系統服務應用程式註冊到遠程機器上。
這個蠕蟲在偶數月份的13日發作,它把染毒計算機磁碟上所有的檔案用隨機內容進行填充。除非檔案有備份,否則這些被病毒破壞的檔案是無法恢復的。
四、清除
RS_klez.exe:瑞星防毒軟體的I-Worm.Klez專殺版本。
因為這個病毒利用了IE的mediaplayer漏洞所以一預覽就自動打開,Microsoft已經出了補丁,所以建議大家去Windows Update升級
