此病毒是臭名昭著的Klez（求职信wantjob）蠕虫的最新变种，它有三种名称，即Klez.g，Klez.h和Klez.k，金山毒霸命为WantJob.E, WantJob.H。其主要特点是通过电子邮件系统进行传播，感染电脑之后能主动关闭许多杀毒软件的运行，正是这一个特点使得它的传播速度明显快于其他病毒，其次它还能感染通过在局域网与电脑相连接的共享驱动器。

发现：

更新：

别名：

类型:(感染长度： 受感染的系统： CVE 参考：)

杀毒工具

防护

损坏

分发

电子邮件伪装

建议

使用杀毒工具

发现：

2001 年 11 月 9 日

更新：

2007 年 2 月 13 日 11:40:01 AM

别名：

W32/Klez.e@MM, W32/Klez.h@MM, W32/Klez.gen@MM, WORM_KLEZ.E, WORM_KLEZ.G, I-Worm.Klez.e, I-Worm.Klez.h, W32/Klez-E, W32/Klez-G, W32/Klez-H

类型:

Worm, Virus

感染长度：

Varies

受感染的系统：

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

CVE 参考：

CVE-2001-0154

W32.Klez.gen@mm 是检测 W32.Klez 变种的普通程序。

为应对 W32.Klez@mm 变种数量的不断增加，而创建了普通程序 W32.Klez.gen@mm。它最初与 2001 年 11 月 9 日的病毒定义一起发布。

杀毒工具

Symantec 已提供了消除 W32.Klez 和 W32.ElKern 所有已知变种所造成感染的工具。如果您的计算机被检测出感染了 W32.Klez.gen@mm，请下载并运行该工具。在多数情况下，该工具可以消除此类感染。单击这里以获得该工具。。请首先尝试该工具，因为它是消除此类威胁最简便的方法。

要查看有关如何下载并运行该工具以及其他几个工具的英文联机教程，请单击此处。

如上所述，为应对 W32.Klez@mm 变种数量的不断增加，而创建了普通程序 W32.Klez.gen@mm。它最初与 2001 年 11 月 9 日的病毒定义一起发布。该普通检测方式随后又进行了多次改进和更新。现在，它包括 .E 和 .H 变种。有关 W32.Klez.E@mm 和 W32.Klez.H@mm 变种的特定信息可以分别在 W32.Klez.E@mm 和 W32.Klez.H@mm 中找到。

有关 Klez 如何影响 Macintosh 的信息，请参阅文档：Macintosh 受 Klez 病毒的影响吗？

防护

* 病毒定义（每周 LiveUpdate™） 2001 年 11 月 9 日

* 病毒定义（智能更新程序） 2001 年 11 月 9 日

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Moderate

* 清除： Difficult

损坏

* 损坏级别： Medium

* 有效负载： Infects the system with the W32.ElKern.3326 virus

* 大规模发送电子邮件： Emails to addresses found in the address book

分发

* 分发级别： High

* 电子邮件的主题： Random subject

* 附件名称： Random attachment with the .BAT, .EXE, .PIF, or .SCR extension

* 附件大小： Approximately 60KB

* 共享驱动器： Infects the shared and mapped drives

W32.Klez.gen@mm 是群发邮件蠕虫，它搜索 Windows 通讯簿中的电子邮件地址并向找到的所有收件人发送邮件。该蠕虫使用它自己的 SMTP 引擎发送邮件。

收到的电子邮件的主题和附件名称是随机选择的。附件会具有下列扩展名中的任意一个：.bat、.exe、.pif 或 .scr。

该蠕虫利用 Microsoft Outlook 和 Outlook Express 中的漏洞，在您打开或预览邮件时尝试进行自我执行。有关该漏洞的信息和修补程序可以在下列网址找到：

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

W32.Klez.gen@mm 会尝试将它自身复制到它找到的所有网络共享驱动器。

根据该蠕虫的变种，它会放入下列病毒之一：

* W32.Elkern.3326

* W32.Elkern.3587

* W32.Elkern.4926

放入的病毒会感染系统。

电子邮件伪装

该蠕虫的有些变种使用称为“伪装”的技术，随机选择一个在受感染的计算机上找到的地址。该蠕虫在执行其群发邮件例程时将该地址用作“发件人”地址。大量报告指出，未受感染的计算机的用户被抱怨向他人发送感染了病毒的邮件。

例如，Linda Anderson 使用的计算机感染了 W32.Klez.E@mm。Linda 未使用防病毒程序或没有最新的病毒定义。当 W32.Klez.gen@mm 执行其电子邮件例程时，会找到 Harold Logan 的电子邮件地址。该蠕虫将 Harold 的电子邮件地址插入受感染邮件的“发件人”部分，然后将该邮件发送给 Janet Bishop。之后，Janet 与 Harold 联系，抱怨他发送给了她一个受感染的邮件，但当 Harold 扫描他的计算机时，Norton AntiVirus 并未发现任何问题，这是因为他的计算机并未受到感染。

如果您使用最新版本的 Norton AntiVirus 并且具有最新的病毒定义，并且设置为扫描所有文件的 Norton AntiVirus 完整系统扫描未发现任何问题，则可以肯定您的计算机未感染该蠕虫。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

使用杀毒工具

Symantec 安全响应中心已开发了一个工具来消除 W32.Klez 和 W32.ElKern 的所有已知感染。单击这里可以获得该工具。请首先尝试该工具，因为它是消除此类威胁最简便的方法。

由于 W32.Klez.gen@mm 是检测 W32.Klez 变种的普通程序，因此感染了 W32.Klez.gen@mm 的计算机也很有可能已暴露在 W32.Klez.E@mm 或 W32.Klez.H@mm 之下。如果您的计算机被检测出来感染了 W32.Klez.gen@mm，请下载并运行该工具。在多数情况下，该工具可以消除此类感染。

要查看有关如何下载并运行该工具以及其他几个工具的联机教程，请单击此处。

如果无法获得该工具，则按照 W32.Klez.E@mm 或 W32.Klez.H@mm 中的杀毒指导执行操作。

注意：如果您使用的是 Norton AntiVirus (NAV) 2000/2001/2002，则在大多数情况下，杀除该病毒后必须重新安装 NAV。有关如何完成此操作的指导，请参阅文档：杀除病毒后如何还原 Norton AntiVirus。

描述者： Douglas Knowles