“W32.Klez.H@mm”的意思、由来-中文百科全书

病毒信息

发现： 2002 年 4 月 17 日

更新： 2007 年 2 月 13 日 11:49:47 AM

别名： W32/Klez.h@MM [McAfee], WORM_KLEZ.H [Trend], WORM_KLEZ.I [Trend], I-Worm.Klez.h [Kaspersky], Klez.H, W32/Klez-H [Sophos], Win32.Klez.H [Computer Associa, W32/Klez.I [Panda], W32/Klez.H@mm [Frisk]

类型: Worm

受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

CVE 参考： CVE-2001-0154。

杀毒工具

Symantec 已提供了消除 W32.Klez 和 W32.ElKern 所有已知变种所造成感染的工具。

这是杀除这些蠕虫的最简便方法，应首先尝试此方法。

有关 W32.Klez.gen@mm 检测的注意事项：

W32.Klez.gen@mm 是检测 W32.Klez 变种的普通程序。感染了 W32.Klez.gen@mm 的计算机大多也暴露在 W32.Klez.E@mm 或 W32.Klez.H@mm 之下。

如果您的计算机被检测出感染了 W32.Klez.gen@mm，请下载和运行该工具。在多数情况下，该工具可以消除此类感染。

据报告，W32.Klez.H@mm 会出现在下列推广 Symantec 杀毒工具的电子邮件中。Symantec 从不主动提供电子邮件，应将其附件删除。

主题：W32.Klez removal tools

正文：

W32.Klez is a dangerous virus that spread through email.

Symantec give you the W32.Klez removal tools

For more information,please visit http:/ /www.Symantec.com

附件：Install.exe

Novell 用户请注意

Novell 不会直接受到攻击，但在 Windows 下运行的 Novell 客户端可以访问 Novell 服务器并从这里执行该文件（使用登录脚本或其他方法），使病毒得以更进一步的传播。

有关 Klez 如何影响苹果机的信息，请参阅文档：苹果机受 Klez 病毒的影响吗？（英文）

防护

* 病毒定义（每周 LiveUpdate?） 2002 年 4 月 17 日。

* 病毒定义（智能更新程序） 2002 年 4 月 17 日。

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： High

* 威胁抑制： Moderate

* 清除： Difficult

* 有效负载： This worm infects executables, by creating a hidden copy of the original host file, and then by overwriting the original file with itself. The hidden copy is encrypted, but contains no viral data. The name of the hidden file is the same as the original fi

* 大规模发送电子邮件： This worm searches the Windows address book, the ICQ database, and local files for email addresses. The worm sends an email message to these addresses with itself as an attachment.

* 泄露机密信息： The worm randomly chooses a file from the machine to send with the worm to recipients. So, the files with the extensions: ".mp8," ".txt," ".htm," ".html," ".wab," ".asp," ".doc," ".rtf," ".xls," ".jpg," ".cpp," ".pas," ".mpg," ".mpeg," ".bak," ".mp3," or

分发

* 分发级别： High

* 电子邮件的主题： Random

* 附件名称： Random

执行此蠕虫时，它会执行下列操作：

1. 它将其自身复制到 \\%System%\\Wink<random characters>.exe。

注意：%System% 是一个变量。该蠕虫会找到 Windows 的系统文件夹（默认位置是 C:\\Windows\\System 或 C:\\Winnt\\System32），然后将自身复制到该位置。

2. 它会将值

Wink<random characters> %System%\\Wink<random characters>.exe

添加到注册表键

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

或创建注册表键

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\Wink[random characters]

并向该子键插入值，以使蠕虫在您启动 Windows 时执行。

3. 该蠕虫尝试通过停止所有活动的进程来禁用使用中的病毒扫描程序和某些以前分发的蠕虫（如 W32.Nimda 和 CodeRed）。该蠕虫删除防病毒产品所用的启动注册表键并删除校验和数据库文件，其中包括：

Anti-Vir.dat

Chklist.dat

Chklist.ms

Chklist.cps

Chklist.tav

Ivb.ntz

Smartchk.ms

Smartchk.cps

Avgqt.dat

Aguard.dat

本地和网络驱动器复制：

该蠕虫会以下列形式将其自身复制到本地、映射驱动器和网络驱动器：

* 具有双重扩展名的随机文件名。例如， Filename.txt.exe。

* 具有双重扩展名的 .rar 存档文件。例如，Filename.txt.rar。

电子邮件

该蠕虫搜索 Windows 通信簿、ICQ 数据库和本地文件查找电子邮件地址。它会向这些地址发送以其自身作为附件的电子邮件消息。它包含它自己的 SMTP 引擎并尝试猜测可用的 SMTP 服务器。例如，如果该蠕虫遇到了地址 user@abc123.com，它将尝试通过服务器 smtp.abc123.com 发送电子邮件。

主题、正文和附件文件名称都是随机的。“发件人”的地址也是从受感染的计算机上找到的电子邮件地址中随机选择使用的。

该蠕虫将搜索具有以下扩展名的文件来查找电子邮件地址：

单击箭头打开/关闭清单

mp8

.exe

.scr

.pif

.bat

.txt

.htm

.html

.wab

.asp

.doc

.rtf

.xls

.jpg

.cpp

.pas

.mpg

.mpeg

.bak

.mp3

.pdf

除了蠕虫附件，它还会附加一个该计算机上的某个随机文件。该文件将具有以下任一扩展名：

单击箭头打开/关闭清单

mp8

.txt

.htm

.html

.wab

.asp

.doc

.rtf

.xls

.jpg

.cpp

.pas

.mpg

.mpeg

.bak

.mp3

.pdf

因此，此类电子邮件消息会有两个附件；第一个是蠕虫，第二个是随机选择的文件。

该蠕虫发送的电子邮件消息由随机的字符串组成。主题会为下列任意一个：

单击箭头打开/关闭清单

Worm Klez.E immunity

Undeliverable mail--"[随机词语]"

Returned mail--"[随机词语]"

a [Random word] [随机词语] game

a [Random word] [随机词语] tool

a [Random word] [随机词语] website

a [Random word] [随机词语] patch

[随机词语] removal tools

how are you

let's be friends

darling

so cool a flash,enjoy it

your password

honey

some questions

please try again

welcome to my hometown

the Garden of Eden

introduction on ADSL

meeting notice

questionnaire

congratulations

sos!

japanese girl VS playboy

look,my beautiful girl friend

eager to see you

spice girls' vocal concert

japanese lass' sexy pictures

其中，“随机词语”会为下列任意一个：

new

funny

nice

humour

excite

good

powful

WinXP

IE 6.0

W32.Elkern

W32.Klez.E

Symantec

Mcafee

F-Secure

Sophos

Trendmicro

Kaspersky

电子邮件消息的正文也是随机编写的。

电子邮件伪装

* 该蠕虫经常使用称为“伪装”的技术。当它执行它的电子邮件例程，它可以使用在受感染的计算机上随机选择的地址作为“发件人”地址。在众多的案例中，未受感染的计算机用户都被抱怨，向其他人发送了受感染的消息。

例如，Linda Anderson 使用的计算机感染了 W32.Klez.H@mm。Linda 未使用防病毒程序或没有最新的病毒定义。当 W32.Klez.H@mm 执行其电子邮件例程时，它会找到 Harold Logan 的地址。它将 Harold 的电子邮件地址插入受感染消息的“发件人”部分，随后将其发送给 Janet Bishop。之后，Janet 联络 Harold 并抱怨它发送给她了一个受感染的消息，但当 Harold 扫描他的计算机时，Norton AntiVirus 并未如愿检测到任何问题，这是因为他的计算机并未受到感染。

如果您使用最新版的 Norton AntiVirus 并且具有最新的病毒定义，并且设置为扫描所有文件的 Norton AntiVirus 进行的全面系统扫描未发现任何问题，则您可以肯定您的计算机没有感染该蠕虫。

* 有报告称，在某些案例中，如果您收到了病毒使用其自己的 SMTP 引擎发送的消息，则该消息会显示为您自己的域发送的“邮局弹回消息”。例如，如果您的电子邮件地址是 jsmith@anyplace.com，您就会收到一份显示为来自 postmaster@anyplace.com 的消息，表示您曾尝试发送电子邮件但尝试失败。如果这是由病毒发送的假消息，则附件会包括病毒本身。当然，不能打开这样的附件。

* 该消息可能会伪装成为免疫工具。此类假消息有一个版本如下：

Klez.E is the most common world-wide spreading worm. It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC.

NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me.

如果在未安装补丁程序的 Microsoft Outlook 或 Outlook Express 中打开，该附件会自动执行。有关该漏洞的信息及补丁程序可在以下位置找到：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

病毒插入

该蠕虫将 W32.Elkern.4926 作为一个具有随机名称的文件插入 \\%Program Files% 文件夹并执行它。

注意：%Program Files% 是一个变量。蠕虫会定位 \\Program Files 文件夹（默认位置是 C:\\Program Files），再将病毒复制到此位置。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

杀毒工具

Symantec 已提供了消除 W32.Klez 和 W32.ElKern 所有已知变种所造成感染的工具。单击这里以获得该工具。这是杀除这些蠕虫的最简便方法，应首先尝试此方法。

有关 W32.Klez.gen@mm 检测的注意事项：

W32.Klez.gen@mm 是检测 W32.Klez 变种的普通程序。感染了 W32.Klez.gen@mm 的计算机大多也暴露在 W32.Klez.E@mm 或 W32.Klez.H@mm 之下。如果您的计算机被检测出感染了 W32.Klez.gen@mm，请下载和运行该工具。在多数情况下，该工具可以消除此类感染。

手动杀毒

Windows 95/98/Me 上的手动杀毒步骤

如果已激活 W32.Klez.H@mm，在大多数情况下无法启动 Norton AntiVirus.该蠕虫一旦得以执行，杀除它有一定困难，需要假以时日。杀毒的过程视操作系统而定。请阅读并执行操作系统特定的所有指导。

请按照下列顺序执行指导中的操作。请不要跳过任何步骤。该步骤经过测试，在大多数情况下都起作用。

注意：该蠕虫造成的破坏和它已执行的次数，使该步骤并不能在所有情况下都起作用。如果不起作用，您可能需要寻求计算机顾问的帮助。

1. 下载病毒定义

使用“智能更新程序”下载病毒定义。并将文件保存到 Windows 桌面。这是必须执行的第一步操作，它确保您在后续的杀毒过程中具有最新的病毒定义。“智能更新程序”病毒定义可从此处获得：

http://securityresponse.symantec.com/avcenter/defs.download.html

有关如何从 Symantec 安全响应中心 Web 站点下载并安装“智能更新程序”病毒定义的详细指导，请参阅文档：如何使用智能更新程序更新病毒定义文件。

2. 以安全模式或 VGA 重新启动计算机。

* 对于Windows 95/98/Me/2000/XP 用户，以安全模式重新启动计算机。有关指导，请阅读文档：如何以安全模式重启 Windows 9x 或 Windows Me。

* 对于 Windows NT 4 用户，请重启计算机到 VGA 模式。

3. 编辑注册表

必须编辑键 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Current Version\\Run 并在记下 wink 文件的确切名称后删除 wink???.exe 值。

警告：强烈推荐在作任何更改前备份系统注册表。如果对注册表进行了不正确的更改，可能导致数据永久丢失或文件损坏。请确保只修改指定的键。继续操作之前，请参阅文档：如何备份 Windows 注册表。

1. 单击“开始”，然后单击“运行”。出现“运行”对话框。

2. 键入 regedit，然后单击“确定”。将打开“注册表编辑器”。

3. 导航至下列键：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

4. 在右窗格中，查找下列值：

Wink[random characters] %System%\\Wink[random characters].exe

WQK %System%\\Wqk.exe

5. 记下 Wink[random characters].exe 文件的确切文件名

6. 删除 Wink[random characters]值及 WQK 值（如果存在）。

7. 导航至并展开下列键：

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services

8. 在左面板中，\\Services 键下，查找以下子键，如果找到请将其删除：

\\Wink[random characters]

注意：在基于 Windows 95/98/Me 的计算机上可能不存在，但务必进行检查。

9. 单击“注册表”，然后单击“退出”。

4. 将 Windows 配置为显示所有文件：

1. 启动 Windows 资源管理器。

2. 单击“查看”菜单 (Windows 95/98) 或“工具”菜单 (Windows Me)，然后单击“选项”或“文件夹选项”。

3. 单击“查看”选项卡。

4. 取消选中“隐藏已知文件类型的扩展名”。

5. 执行下列任一操作：

* Windows 95：单击“显示所有文件”。

* Windows 98：在“高级设置”框的“隐藏文件”文件夹下，单击“显示所有文件”。

* Windows Me：取消选中“隐藏受保护的操作系统文件”，并在“隐藏文件”文件夹下，单击“显示隐藏文件和文件夹”。

6. 如果出现警告对话框，单击“是”。

7. 单击“应用”，然后单击“确定”。

5. 删除实际的 Wink[random characters] 文件

使用 Windows 资源管理器，打开 C:\\Windows\\System 文件夹并找到 Wink[random characters].exe 文件。（由于系统设置，.exe 扩展名可能不显示。）

注意：如果未将 Windows 安装到 C:\\Windows，请进入适当的文件夹中查找。

6. 清空回收站

用鼠标右键单击 Windows 桌面的“回收站”图标，然后单击“清空回收站”。

7. 运行智能更新程序

双击步骤 1 中下载的文件。出现提示时，单击“是”或“确定”。

8. 重新启动计算机。

关闭计算机，关掉电源。等待 30 秒，然后重新启动。

警告：这一步非常重要。如果不遵守规定，会再次感染病毒。

让计算机正常启动。如果检测到有文件感染了 W32.Klez.H@mm 或 W32.Klez.gen@mm，请将其隔离。您找到的文件中可能包含 Luall.exe、Rescue32.exe 和 Nmain.exe。

9. 从命令行使用 Norton AntiVirus (NAV) 进行扫描

由于某些 NAV 文件遭到蠕虫的破坏，所以必须从命令行进行扫描。

注意：以下指导仅适用于 NAV 单机版。文件 Navw32.exe 不是 NAV 企业版（如 NAVCE）的一部分。NAVCE 的命令行扫描程序（即 Vpscan.exe）不会杀除蠕虫。

1. 单击“开始”，然后单击“运行”。

2. 键入（或复制并粘贴）下列内容，然后单击“确定”：

NAVW32.EXE /L /VISIBLE

3. 运行扫描。隔离检测到的其他文件。

10. 重新启动计算机。

让计算机正常启动。

11. 重新安装 NAV

注意：如果在 Windows XP 上使用 NAV 2002，不是在所有系统上都可能。但您可以尝试以下方法：

1. 打开“控制面板”

2. 双击“管理工具”

3. 然后双击“服务”。

4. 从列表选择 Windows Installer。单击“操作”，并单击“启动”。

请按照文档：如何在杀毒后恢复 Norton AntiVirus 中的指导重新安装 NAV。

12. 重新启动计算机并再次扫描

1. 关闭计算机，关掉电源。等待 30 秒，然后重新启动。

警告：这一步非常重要。如果不遵守规定，会再次感染病毒。

2. 运行 LiveUpdate 并下载最新的病毒定义。

3. 启动 Norton AntiVirus (NAV)，并确保将 NAV 配置为扫描所有文件。有关如何完成此操作的指导，请参阅文档：如何配置 Norton AntiVirus 以扫描所有文件。

4. 运行完整的系统扫描。隔离所有被检测到受 W32.Klez.H@mm 或 W32.Klez.gen@mm 感染的文件。

Windows 2000/XP 的手动杀毒步骤

1. 下载病毒定义

http://securityresponse.symantec.com/avcenter/defs.download.html

有关如何从 Symantec 安全响应中心 Web 站点下载并安装“智能更新程序”病毒定义的详细指导，请参阅文档：如何使用智能更新程序更新病毒定义文件。

2. 以安全模式重新启动计算机。

1. 关闭计算机，关掉电源。等待 30 秒。请不要跳过此步骤。

2. 您必须最先执行该步骤。除 Windows NT 外，所有的 Windows 32 位操作系统均可以安全模式重新启动。请根据您的操作系统阅读相应的文档。

* 如何以安全模式启动 Windows 2000

* 如何以安全模式启动 Windows XP

3. 编辑注册表

必须编辑键 HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services 并在记下 wink 文件的确切名称后删除 wink[random characters].exe 子键。

1. 单击“开始”，然后单击“运行”。出现“运行”对话框。

2. 键入 regedit，然后单击“确定”。将打开“注册表编辑器”。

3. 导航至下列键：

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services

4. 在左窗格中 \\Services 键下，查找以下子键：

\\Wink[random characters]

5. 记下 Wink[random characters].exe 文件的确切文件名

6. 删除 Wink[random characters] 子键。

7. 导航至下列键：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

8. 在右窗格中，查找以下值，如果找到请将其删除：

Wink[random characters] %System%\\Wink[random characters].exe

WQK %System%\\Wqk.exe

注意：基于 Windows 2000/XP 计算机上可能不存在这些值，但务必进行检查。

9. 单击“注册表”，然后单击“退出”。

4. 将 Windows 配置为显示所有文件。

1. 请不要跳过这些步骤。

2. 启动 Windows 资源管理器。

3. 单击“工具”菜单，然后单击“文件夹选项”。

4. 单击“查看”选项卡。

5. 取消选中“隐藏已知文件类型的扩展名”。

6. 取消选中“隐藏受保护的操作系统文件”，然后在“隐藏文件和文件夹”下单击“显示所有文件和文件夹”。

7. 单击“应用”，然后单击“确定”。

5. 删除实际的 Wink[random characters] 文件

使用 Windows 资源管理器，打开 C:\\Winnt\\System 文件夹并找到 Wink[random characters].exe 文件。（由于系统设置，.exe 扩展名可能不显示。）

注意：如果未将 Windows 安装到 C:\\Windows，请在适当的文件夹中查找该文件。

6. 清空回收站

用鼠标右键单击 Windows 桌面的“回收站”图标，然后单击“清空回收站”。

7. 运行智能更新程序

双击在步骤 1 中下载的文件。出现提示时，单击“是”或“确定”。

8. 重新启动计算机

关闭计算机，关掉电源。等待 30 秒，然后重新启动。

警告：这一步非常重要。如果不遵守规定，会再次感染病毒。

让计算机正常启动。如果检测到有文件感染了 W32.Klez.H@mm 或 W32.Klez.gen@mm，请将其隔离。您找到的文件中可能包含 Luall.exe、Rescue32.exe 和 Nmain.exe。

9. 从命令行使用 Norton AntiVirus (NAV) 进行扫描

由于某些 NAV 文件遭到蠕虫的破坏，所以必须从命令行进行扫描。

注意：以下指导仅适用于 NAV 单机版。文件 Navw32.exe 不是 NAV 企业版（如 NAVCE）的一部分。NAVCE 的命令行扫描程序（即 Vpscan.exe）不会杀除蠕虫。

1. 单击“开始”，然后单击“运行”。

2. 键入（或复制并粘贴）下列内容，然后单击“确定”：

NAVW32.EXE /L /VISIBLE

3. 运行扫描。隔离检测到的其他文件。

10. 重新安装 NAV

注意：如果在 Windows XP 上使用 NAV 2002，不是在所有系统上都可能。但您可以尝试以下方法：打开“控制面板”，双击“管理工具”，然后双击“服务”。从列表选择 Windows Installer。单击“操作”，并单击“启动”。

请按照文档：如何在杀毒后恢复 Norton AntiVirus 中的指导重新安装 NAV。

11. 重新启动计算机并再次扫描

1. 关闭计算机，关掉电源。等待 30 秒，然后重新启动。

警告：这一步非常重要。如果不遵守规定，会再次感染病毒。

2. 运行 LiveUpdate 并下载最新的病毒定义。

3. 启动 Norton AntiVirus (NAV)，并确保将 NAV 配置为扫描所有文件。有关如何完成此操作的指导，请参阅文档：如何配置 Norton AntiVirus 以扫描所有文件。

4. 运行完整的系统扫描。隔离所有被检测到受 W32.Klez.H@mm 或 W32.Klez.gen@mm 感染的文件。

词条	W32.Klez.H@mm
释义	W32.Klez.H@mm 蠕虫 W32.Klez.E@mm 的变种。该变种能够通过电子邮件和网络共享进行传播。它也能够感染文件。病毒信息威胁评估(广度损坏分发) 电子邮件电子邮件伪装病毒插入建议杀毒工具手动杀毒(Windows 95/98/Me 上的手动杀毒步骤 Windows 2000/XP 的手动杀毒步骤) 病毒信息发现： 2002 年 4 月 17 日更新： 2007 年 2 月 13 日 11:49:47 AM 别名： W32/Klez.h@MM [McAfee], WORM_KLEZ.H [Trend], WORM_KLEZ.I [Trend], I-Worm.Klez.h [Kaspersky], Klez.H, W32/Klez-H [Sophos], Win32.Klez.H [Computer Associa, W32/Klez.I [Panda], W32/Klez.H@mm [Frisk] 类型: Worm 受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP CVE 参考： CVE-2001-0154。杀毒工具 Symantec 已提供了消除 W32.Klez 和 W32.ElKern 所有已知变种所造成感染的工具。这是杀除这些蠕虫的最简便方法，应首先尝试此方法。有关 W32.Klez.gen@mm 检测的注意事项： W32.Klez.gen@mm 是检测 W32.Klez 变种的普通程序。感染了 W32.Klez.gen@mm 的计算机大多也暴露在 W32.Klez.E@mm 或 W32.Klez.H@mm 之下。如果您的计算机被检测出感染了 W32.Klez.gen@mm，请下载和运行该工具。在多数情况下，该工具可以消除此类感染。据报告，W32.Klez.H@mm 会出现在下列推广 Symantec 杀毒工具的电子邮件中。Symantec 从不主动提供电子邮件，应将其附件删除。主题：W32.Klez removal tools 正文： W32.Klez is a dangerous virus that spread through email. Symantec give you the W32.Klez removal tools For more information,please visit http:/ /www.Symantec.com 附件：Install.exe Novell 用户请注意 Novell 不会直接受到攻击，但在 Windows 下运行的 Novell 客户端可以访问 Novell 服务器并从这里执行该文件（使用登录脚本或其他方法），使病毒得以更进一步的传播。有关 Klez 如何影响苹果机的信息，请参阅文档：苹果机受 Klez 病毒的影响吗？（英文）防护 * 病毒定义（每周 LiveUpdate?） 2002 年 4 月 17 日。 * 病毒定义（智能更新程序） 2002 年 4 月 17 日。威胁评估广度 * 广度级别： Low * 感染数量： More than 1000 * 站点数量： More than 10 * 地理位置分布： High * 威胁抑制： Moderate * 清除： Difficult 损坏 * 损坏级别： Medium * 有效负载： This worm infects executables, by creating a hidden copy of the original host file, and then by overwriting the original file with itself. The hidden copy is encrypted, but contains no viral data. The name of the hidden file is the same as the original fi * 大规模发送电子邮件： This worm searches the Windows address book, the ICQ database, and local files for email addresses. The worm sends an email message to these addresses with itself as an attachment. * 泄露机密信息： The worm randomly chooses a file from the machine to send with the worm to recipients. So, the files with the extensions: ".mp8," ".txt," ".htm," ".html," ".wab," ".asp," ".doc," ".rtf," ".xls," ".jpg," ".cpp," ".pas," ".mpg," ".mpeg," ".bak," ".mp3," or 分发 * 分发级别： High * 电子邮件的主题： Random * 附件名称： Random 执行此蠕虫时，它会执行下列操作： 1. 它将其自身复制到 \\%System%\\Wink<random characters>.exe。注意：%System% 是一个变量。该蠕虫会找到 Windows 的系统文件夹（默认位置是 C:\\Windows\\System 或 C:\\Winnt\\System32），然后将自身复制到该位置。 2. 它会将值 Wink<random characters> %System%\\Wink<random characters>.exe 添加到注册表键 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 或创建注册表键 HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\Wink[random characters] 并向该子键插入值，以使蠕虫在您启动 Windows 时执行。 3. 该蠕虫尝试通过停止所有活动的进程来禁用使用中的病毒扫描程序和某些以前分发的蠕虫（如 W32.Nimda 和 CodeRed）。该蠕虫删除防病毒产品所用的启动注册表键并删除校验和数据库文件，其中包括： Anti-Vir.dat Chklist.dat Chklist.ms Chklist.cps Chklist.tav Ivb.ntz Smartchk.ms Smartchk.cps Avgqt.dat Aguard.dat 本地和网络驱动器复制：该蠕虫会以下列形式将其自身复制到本地、映射驱动器和网络驱动器： * 具有双重扩展名的随机文件名。例如， Filename.txt.exe。 * 具有双重扩展名的 .rar 存档文件。例如，Filename.txt.rar。电子邮件该蠕虫搜索 Windows 通信簿、ICQ 数据库和本地文件查找电子邮件地址。它会向这些地址发送以其自身作为附件的电子邮件消息。它包含它自己的 SMTP 引擎并尝试猜测可用的 SMTP 服务器。例如，如果该蠕虫遇到了地址 user@abc123.com，它将尝试通过服务器 smtp.abc123.com 发送电子邮件。主题、正文和附件文件名称都是随机的。“发件人”的地址也是从受感染的计算机上找到的电子邮件地址中随机选择使用的。该蠕虫将搜索具有以下扩展名的文件来查找电子邮件地址：单击箭头打开/关闭清单 mp8 .exe .scr .pif .bat .txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .pas .mpg .mpeg .bak .mp3 .pdf 除了蠕虫附件，它还会附加一个该计算机上的某个随机文件。该文件将具有以下任一扩展名：单击箭头打开/关闭清单 mp8 .txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .pas .mpg .mpeg .bak .mp3 .pdf 因此，此类电子邮件消息会有两个附件；第一个是蠕虫，第二个是随机选择的文件。该蠕虫发送的电子邮件消息由随机的字符串组成。主题会为下列任意一个：单击箭头打开/关闭清单 Worm Klez.E immunity Undeliverable mail--"[随机词语]" Returned mail--"[随机词语]" a [Random word] [随机词语] game a [Random word] [随机词语] tool a [Random word] [随机词语] website a [Random word] [随机词语] patch [随机词语] removal tools how are you let's be friends darling so cool a flash,enjoy it your password honey some questions please try again welcome to my hometown the Garden of Eden introduction on ADSL meeting notice questionnaire congratulations sos! japanese girl VS playboy look,my beautiful girl friend eager to see you spice girls' vocal concert japanese lass' sexy pictures 其中，“随机词语”会为下列任意一个： new funny nice humour excite good powful WinXP IE 6.0 W32.Elkern W32.Klez.E Symantec Mcafee F-Secure Sophos Trendmicro Kaspersky 电子邮件消息的正文也是随机编写的。电子邮件伪装 * 该蠕虫经常使用称为“伪装”的技术。当它执行它的电子邮件例程，它可以使用在受感染的计算机上随机选择的地址作为“发件人”地址。在众多的案例中，未受感染的计算机用户都被抱怨，向其他人发送了受感染的消息。例如，Linda Anderson 使用的计算机感染了 W32.Klez.H@mm。Linda 未使用防病毒程序或没有最新的病毒定义。当 W32.Klez.H@mm 执行其电子邮件例程时，它会找到 Harold Logan 的地址。它将 Harold 的电子邮件地址插入受感染消息的“发件人”部分，随后将其发送给 Janet Bishop。之后，Janet 联络 Harold 并抱怨它发送给她了一个受感染的消息，但当 Harold 扫描他的计算机时，Norton AntiVirus 并未如愿检测到任何问题，这是因为他的计算机并未受到感染。如果您使用最新版的 Norton AntiVirus 并且具有最新的病毒定义，并且设置为扫描所有文件的 Norton AntiVirus 进行的全面系统扫描未发现任何问题，则您可以肯定您的计算机没有感染该蠕虫。 * 有报告称，在某些案例中，如果您收到了病毒使用其自己的 SMTP 引擎发送的消息，则该消息会显示为您自己的域发送的“邮局弹回消息”。例如，如果您的电子邮件地址是 jsmith@anyplace.com，您就会收到一份显示为来自 postmaster@anyplace.com 的消息，表示您曾尝试发送电子邮件但尝试失败。如果这是由病毒发送的假消息，则附件会包括病毒本身。当然，不能打开这样的附件。 * 该消息可能会伪装成为免疫工具。此类假消息有一个版本如下： Klez.E is the most common world-wide spreading worm. It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me. 如果在未安装补丁程序的 Microsoft Outlook 或 Outlook Express 中打开，该附件会自动执行。有关该漏洞的信息及补丁程序可在以下位置找到：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp 病毒插入该蠕虫将 W32.Elkern.4926 作为一个具有随机名称的文件插入 \\%Program Files% 文件夹并执行它。注意：%Program Files% 是一个变量。蠕虫会定位 \\Program Files 文件夹（默认位置是 C:\\Program Files），再将病毒复制到此位置。建议赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”： * 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。 * 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。 * 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。 * 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。 * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。 * 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。 * 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。杀毒工具 Symantec 已提供了消除 W32.Klez 和 W32.ElKern 所有已知变种所造成感染的工具。单击这里以获得该工具。这是杀除这些蠕虫的最简便方法，应首先尝试此方法。有关 W32.Klez.gen@mm 检测的注意事项： W32.Klez.gen@mm 是检测 W32.Klez 变种的普通程序。感染了 W32.Klez.gen@mm 的计算机大多也暴露在 W32.Klez.E@mm 或 W32.Klez.H@mm 之下。如果您的计算机被检测出感染了 W32.Klez.gen@mm，请下载和运行该工具。在多数情况下，该工具可以消除此类感染。手动杀毒 Windows 95/98/Me 上的手动杀毒步骤如果已激活 W32.Klez.H@mm，在大多数情况下无法启动 Norton AntiVirus.该蠕虫一旦得以执行，杀除它有一定困难，需要假以时日。杀毒的过程视操作系统而定。请阅读并执行操作系统特定的所有指导。请按照下列顺序执行指导中的操作。请不要跳过任何步骤。该步骤经过测试，在大多数情况下都起作用。注意：该蠕虫造成的破坏和它已执行的次数，使该步骤并不能在所有情况下都起作用。如果不起作用，您可能需要寻求计算机顾问的帮助。 1. 下载病毒定义使用“智能更新程序”下载病毒定义。并将文件保存到 Windows 桌面。这是必须执行的第一步操作，它确保您在后续的杀毒过程中具有最新的病毒定义。“智能更新程序”病毒定义可从此处获得： http://securityresponse.symantec.com/avcenter/defs.download.html 有关如何从 Symantec 安全响应中心 Web 站点下载并安装“智能更新程序”病毒定义的详细指导，请参阅文档：如何使用智能更新程序更新病毒定义文件。 2. 以安全模式或 VGA 重新启动计算机。 * 对于Windows 95/98/Me/2000/XP 用户，以安全模式重新启动计算机。有关指导，请阅读文档：如何以安全模式重启 Windows 9x 或 Windows Me。 * 对于 Windows NT 4 用户，请重启计算机到 VGA 模式。 3. 编辑注册表必须编辑键 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Current Version\\Run 并在记下 wink 文件的确切名称后删除 wink???.exe 值。警告：强烈推荐在作任何更改前备份系统注册表。如果对注册表进行了不正确的更改，可能导致数据永久丢失或文件损坏。请确保只修改指定的键。继续操作之前，请参阅文档：如何备份 Windows 注册表。 1. 单击“开始”，然后单击“运行”。出现“运行”对话框。 2. 键入 regedit，然后单击“确定”。将打开“注册表编辑器”。 3. 导航至下列键： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 4. 在右窗格中，查找下列值： Wink[random characters] %System%\\Wink[random characters].exe WQK %System%\\Wqk.exe 5. 记下 Wink[random characters].exe 文件的确切文件名 6. 删除 Wink[random characters]值及 WQK 值（如果存在）。 7. 导航至并展开下列键： HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services 8. 在左面板中，\\Services 键下，查找以下子键，如果找到请将其删除： \\Wink[random characters] 注意：在基于 Windows 95/98/Me 的计算机上可能不存在，但务必进行检查。 9. 单击“注册表”，然后单击“退出”。 4. 将 Windows 配置为显示所有文件： 1. 启动 Windows 资源管理器。 2. 单击“查看”菜单 (Windows 95/98) 或“工具”菜单 (Windows Me)，然后单击“选项”或“文件夹选项”。 3. 单击“查看”选项卡。 4. 取消选中“隐藏已知文件类型的扩展名”。 5. 执行下列任一操作： * Windows 95：单击“显示所有文件”。 * Windows 98：在“高级设置”框的“隐藏文件”文件夹下，单击“显示所有文件”。 * Windows Me：取消选中“隐藏受保护的操作系统文件”，并在“隐藏文件”文件夹下，单击“显示隐藏文件和文件夹”。 6. 如果出现警告对话框，单击“是”。 7. 单击“应用”，然后单击“确定”。 5. 删除实际的 Wink[random characters] 文件使用 Windows 资源管理器，打开 C:\\Windows\\System 文件夹并找到 Wink[random characters].exe 文件。（由于系统设置，.exe 扩展名可能不显示。）注意：如果未将 Windows 安装到 C:\\Windows，请进入适当的文件夹中查找。 6. 清空回收站用鼠标右键单击 Windows 桌面的“回收站”图标，然后单击“清空回收站”。 7. 运行智能更新程序双击步骤 1 中下载的文件。出现提示时，单击“是”或“确定”。 8. 重新启动计算机。关闭计算机，关掉电源。等待 30 秒，然后重新启动。警告：这一步非常重要。如果不遵守规定，会再次感染病毒。让计算机正常启动。如果检测到有文件感染了 W32.Klez.H@mm 或 W32.Klez.gen@mm，请将其隔离。您找到的文件中可能包含 Luall.exe、Rescue32.exe 和 Nmain.exe。 9. 从命令行使用 Norton AntiVirus (NAV) 进行扫描由于某些 NAV 文件遭到蠕虫的破坏，所以必须从命令行进行扫描。注意：以下指导仅适用于 NAV 单机版。文件 Navw32.exe 不是 NAV 企业版（如 NAVCE）的一部分。NAVCE 的命令行扫描程序（即 Vpscan.exe）不会杀除蠕虫。 1. 单击“开始”，然后单击“运行”。 2. 键入（或复制并粘贴）下列内容，然后单击“确定”： NAVW32.EXE /L /VISIBLE 3. 运行扫描。隔离检测到的其他文件。 10. 重新启动计算机。让计算机正常启动。 11. 重新安装 NAV 注意：如果在 Windows XP 上使用 NAV 2002，不是在所有系统上都可能。但您可以尝试以下方法： 1. 打开“控制面板” 2. 双击“管理工具” 3. 然后双击“服务”。 4. 从列表选择 Windows Installer。单击“操作”，并单击“启动”。请按照文档：如何在杀毒后恢复 Norton AntiVirus 中的指导重新安装 NAV。 12. 重新启动计算机并再次扫描 1. 关闭计算机，关掉电源。等待 30 秒，然后重新启动。警告：这一步非常重要。如果不遵守规定，会再次感染病毒。 2. 运行 LiveUpdate 并下载最新的病毒定义。 3. 启动 Norton AntiVirus (NAV)，并确保将 NAV 配置为扫描所有文件。有关如何完成此操作的指导，请参阅文档：如何配置 Norton AntiVirus 以扫描所有文件。 4. 运行完整的系统扫描。隔离所有被检测到受 W32.Klez.H@mm 或 W32.Klez.gen@mm 感染的文件。 Windows 2000/XP 的手动杀毒步骤 1. 下载病毒定义使用“智能更新程序”下载病毒定义。并将文件保存到 Windows 桌面。这是必须执行的第一步操作，它确保您在后续的杀毒过程中具有最新的病毒定义。“智能更新程序”病毒定义可从此处获得： http://securityresponse.symantec.com/avcenter/defs.download.html 有关如何从 Symantec 安全响应中心 Web 站点下载并安装“智能更新程序”病毒定义的详细指导，请参阅文档：如何使用智能更新程序更新病毒定义文件。 2. 以安全模式重新启动计算机。 1. 关闭计算机，关掉电源。等待 30 秒。请不要跳过此步骤。 2. 您必须最先执行该步骤。除 Windows NT 外，所有的 Windows 32 位操作系统均可以安全模式重新启动。请根据您的操作系统阅读相应的文档。 * 如何以安全模式启动 Windows 2000 * 如何以安全模式启动 Windows XP 3. 编辑注册表必须编辑键 HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services 并在记下 wink 文件的确切名称后删除 wink[random characters].exe 子键。警告：强烈推荐在作任何更改前备份系统注册表。如果对注册表进行了不正确的更改，可能导致数据永久丢失或文件损坏。请确保只修改指定的键。继续操作之前，请参阅文档：如何备份 Windows 注册表。 1. 单击“开始”，然后单击“运行”。出现“运行”对话框。 2. 键入 regedit，然后单击“确定”。将打开“注册表编辑器”。 3. 导航至下列键： HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services 4. 在左窗格中 \\Services 键下，查找以下子键： \\Wink[random characters] 5. 记下 Wink[random characters].exe 文件的确切文件名 6. 删除 Wink[random characters] 子键。 7. 导航至下列键： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 8. 在右窗格中，查找以下值，如果找到请将其删除： Wink[random characters] %System%\\Wink[random characters].exe WQK %System%\\Wqk.exe 注意：基于 Windows 2000/XP 计算机上可能不存在这些值，但务必进行检查。 9. 单击“注册表”，然后单击“退出”。 4. 将 Windows 配置为显示所有文件。 1. 请不要跳过这些步骤。 2. 启动 Windows 资源管理器。 3. 单击“工具”菜单，然后单击“文件夹选项”。 4. 单击“查看”选项卡。 5. 取消选中“隐藏已知文件类型的扩展名”。 6. 取消选中“隐藏受保护的操作系统文件”，然后在“隐藏文件和文件夹”下单击“显示所有文件和文件夹”。 7. 单击“应用”，然后单击“确定”。 5. 删除实际的 Wink[random characters] 文件使用 Windows 资源管理器，打开 C:\\Winnt\\System 文件夹并找到 Wink[random characters].exe 文件。（由于系统设置，.exe 扩展名可能不显示。）注意：如果未将 Windows 安装到 C:\\Windows，请在适当的文件夹中查找该文件。 6. 清空回收站用鼠标右键单击 Windows 桌面的“回收站”图标，然后单击“清空回收站”。 7. 运行智能更新程序双击在步骤 1 中下载的文件。出现提示时，单击“是”或“确定”。 8. 重新启动计算机关闭计算机，关掉电源。等待 30 秒，然后重新启动。警告：这一步非常重要。如果不遵守规定，会再次感染病毒。让计算机正常启动。如果检测到有文件感染了 W32.Klez.H@mm 或 W32.Klez.gen@mm，请将其隔离。您找到的文件中可能包含 Luall.exe、Rescue32.exe 和 Nmain.exe。 9. 从命令行使用 Norton AntiVirus (NAV) 进行扫描由于某些 NAV 文件遭到蠕虫的破坏，所以必须从命令行进行扫描。注意：以下指导仅适用于 NAV 单机版。文件 Navw32.exe 不是 NAV 企业版（如 NAVCE）的一部分。NAVCE 的命令行扫描程序（即 Vpscan.exe）不会杀除蠕虫。 1. 单击“开始”，然后单击“运行”。 2. 键入（或复制并粘贴）下列内容，然后单击“确定”： NAVW32.EXE /L /VISIBLE 3. 运行扫描。隔离检测到的其他文件。 10. 重新安装 NAV 注意：如果在 Windows XP 上使用 NAV 2002，不是在所有系统上都可能。但您可以尝试以下方法：打开“控制面板”，双击“管理工具”，然后双击“服务”。从列表选择 Windows Installer。单击“操作”，并单击“启动”。请按照文档：如何在杀毒后恢复 Norton AntiVirus 中的指导重新安装 NAV。 11. 重新启动计算机并再次扫描 1. 关闭计算机，关掉电源。等待 30 秒，然后重新启动。警告：这一步非常重要。如果不遵守规定，会再次感染病毒。 2. 运行 LiveUpdate 并下载最新的病毒定义。 3. 启动 Norton AntiVirus (NAV)，并确保将 NAV 配置为扫描所有文件。有关如何完成此操作的指导，请参阅文档：如何配置 Norton AntiVirus 以扫描所有文件。 4. 运行完整的系统扫描。隔离所有被检测到受 W32.Klez.H@mm 或 W32.Klez.gen@mm 感染的文件。
随便看	上阴田清真寺上银导轨上银科技股份有限公司上银直线导轨上尹制府乞病启上引法上隐斜上英力村上英鸟村上英窝村上英镇上营上营村上营村古堡上营村自然村上营盘自然村上营森林经营局上营社区上营乡上营站上营镇上营自然村上迎凤村上迎香上影线