W32.ElKern.4926是W32.ElKern.3326 病毒的新变种，该变种由 W32.Klez.H@mm 放置。W32.ElKern.4926 与 W32.Klez.H@mm 蠕虫相关联，该蠕虫在 C:\\Program Files 文件夹中使用随机文件名创建纯粹的病毒体并激活它，然后该病毒会自行运行。如果检测到 W32.ElKern.dam，说明存在 W32.ElKern.4926 感染，在这种情况下，文件会被病毒 W32.Elkern.4926 破坏，或者文件中包含病毒体，但病毒代码不可能得到主机程序的控制权。Symantec 提供了消除 W32.Klez 和 W32.ElKern 所有已知变种所造成的感染的工具。这是推荐的方法。同时也可手动杀毒。

基本信息

注意事项(注意 该变种的不同之处 防护)

威胁评估

工作原理

建议

使用杀毒工具杀毒

手动杀毒

基本信息

发现： 2002 年 4 月 17 日

更新： 2007 年 2 月 13 日 11:42:44 AM

别名： Win32.Elkern.c [AVP], W32/Elkern.C [Sophos], Win32/WQK.C [CA], PE_ELKERN.D [Trend], W32/Elkern.cav.c [McAfee]

类型: Virus

感染长度： 4,926 bytes

受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows XP

这是 W32.ElKern.3326 病毒的新变种。该变种由 W32.Klez.H@mm 放置。

Symantec 提供了消除 W32.Klez 和 W32.ElKern 所有已知变种所造成的感染的工具。单击这里以获得该工具。这是杀除这些威胁的最简便方法，应首先尝试此方法。

注意事项

注意

病毒定义和 2002 年 9 月 10 日的 W32.Klez 杀毒工具（也可消除 ElKern 感染）具有接种疫苗功能。如果受感染的文件得到了 Symantec AntiVirus 产品或 W32.Klez 杀毒工具的修复，这些文件不会被 W32.ElKern.4926 再次感染。

该变种的不同之处

* 防止感染自解压 .rar 和 .zip 归档文件的识别算法（首次出现在 W32.ElKern.3587）

* 病毒作者尝试使用改进的加密算法，使检测更困难

* 排除破坏性的有效荷载

有关 W32.Klez.gen@mm 检测的说明：如果感染了 W32.Klez 变种，通常会检测到 W32.Klez.gen@mm。感染了 W32.Klez.gen@mm 的计算机大多也容易感染 W32.Klez.E@mm 或 W32.Klez.H@mm。如果您的计算机被检测为感染了 W32.Klez.gen@mm，请下载并运行该工具。在多数情况下，该工具可以消除此类感染。

防护

* 病毒定义（每周 LiveUpdate™） 2002 年 4 月 17 日

* 病毒定义（智能更新程序） 2002 年 4 月 17 日

威胁评估

广度

* 广度级别： Medium

* 感染数量： 50 - 999

* 站点数量： More than 10

* 地理位置分布： High

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： Low

分发

* 分发级别： High

工作原理

W32.ElKern.4926 与 W32.Klez.H@mm 蠕虫相关联。该蠕虫在 C:\\Program Files 文件夹中使用随机文件名创建纯粹的病毒体并激活它。然后，该病毒会自行运行。

像 W32.ElKern.3326 和 W32.ElKern.3587 一样，W32.ElKern.4926 还是空洞传染源，它会感染在文件夹或子文件夹中随机选择的可移植的可执行(PE) 文件。它在当前文件夹中开始搜索要感染的文件。然后通过驱动器号搜索，从任意字母开始搜索到 Z。它还感染本地网络上的开放共享中的文件。有些受感染文件的大小并不改变。

文件搜索会跳过名称中包含“rary Inter”或“tem32\\dllcac”的文件夹。此外，名称以下列任意字母序列开头的文件也会被跳过：_avp、aler、amon、anti、 nod3、npss、nres、nsch、n32s、avwi、scan、f-st、f-pr、avp 或 nav。

如果文件是 PE GUI 或不是 .dll 的控制台应用程序、不包含文本“irus”、不受 Windows 98/Me/2000/XP 中的系统文件检查程序的保护、既不是 WinZip 也不是 RAR 自解压文件，W32.ElKern.4926 就认为该文件是可感染的。

W32.ElKern.4926 包含一个错误，该错误会导致文件重复感染。这可造成受感染的文件无法修复。

而且，该病毒变种会尝试将其代码插入所有正在运行的进程中。这会造成文件在全面系统扫描未发现病毒后再次被感染。

变种 W32.ElKern.3326 和 W32.ElKern.3587 会放置 Wqk.dll 或 Wqk.exe 并在下列注册表键中添加引用它们的值：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrrentVersion\\Run

与这两个变种不同的是，W32.ElKern.4926 不会放置 Wqk.dll 或 Wqk.exe，并且不修改任何注册表键。

如果检测到 W32.ElKern.dam，说明存在 W32.ElKern.4926 感染，在这种情况下，文件会被病毒 W32.Elkern.4926 破坏，或者文件中包含病毒体，但病毒代码不可能得到主机程序的控制权。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

使用杀毒工具杀毒

Symantec 提供了消除 W32.Klez 和 W32.ElKern 所有已知变种所造成的感染的工具。这是推荐的方法。单击这里可以获得该工具。

有关 W32.Klez.gen@mm 检测的说明：如果感染了 W32.Klez 变种，通常会检测到 W32.Klez.gen@mm。感染了 W32.Klez.gen@mm 的计算机大多也容易感染 W32.Klez.E@mm 或 W32.Klez.H@mm。如果您的计算机被检测为感染了 W32.Klez.gen@mm，请下载并运行该工具。在多数情况下，该工具可以消除此类感染。

手动杀毒

注意：如果计算机只感染了 W32.ElKern.4926，可以使用此过程。但如果计算机还受到 W32.Klez.H@mm 的感染，则此过程不起作用。

1. 运行 LiveUpdate，确保您的病毒定义是最新的。

2. 关闭计算机，关掉电源，然后等待 30 秒。

3. 以安全模式重新启动计算机。除 Windows NT 外，所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导，请参阅文档：如何以安全模式启动计算机。

4. 启动 Norton AntiVirus (NAV)，并确保 NAV 配置为扫描所有文件。

* Norton AntiVirus 消费者产品：请阅读「如何设定 Norton AntiVirus 以扫描所有档案」文章。

* 赛门铁克企业版防毒产品：请阅读「如何确认 Symantec Corporate AntiVirus 产品已设定为扫描所有档案」文章。

5. 如果确定任何文件被 W32.ElKern.4926 感染，请单击“修复”。

6. 重新启动计算机。

7. 重复步骤 3-5 直至报告无受感染文件。