“Win32.WantJob”的意思、由来-中文百科全书

病毒介绍

病毒别名：W32.Klez.A@mm[NAV]，I-Worm.Klez.c[AVP]

处理时间：2001-10-26

威胁级别：★★★★

中文名称：求职信

病毒类型：Win32病毒

影响系统：Win9x / WinNT

病毒行为

这是一个广泛传播的混合型蠕虫病毒，主要通过邮件和网络共享传播，危害极大。

1.首先将自己要用到的字符串解码。

2.启动一个线程不停的查询内存中的进程.检查是否有一些杀毒软件存在（如AVP/NAV/NOD/Macfee等）。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次，以至于这些杀毒软件无法运行。

3.接着病毒启动另一个线程，用来创建一个名为WQK.EXE的文件运行.拷贝到的目录。然后将自身复制到的目录。

4.然后修改注册表，使自己的每次系统启动都自动运行。

5.将自己注册为系统的服务进程。

6.启动一个线程用于发送邮件，病毒再次利用Nimda病毒利用的Iframe ExecCommand漏洞，使没有打IE补丁的用户收到邮件后会自动运行。病毒会随机选取以下语句作为邮件主题：

Hello

How are you?

Can you help me?

We want peace

Where will you go?

Congratulations!!!

Don’t Cry

Look at the pretty

Some advice on your shortcoming

Free XXX Pictures

A free hot porn site

Why don’t you reply to me?

How about have dinner with me together?

Never kiss a stranger

邮件正文部分为空，但编码中有一段注释：

I’m sorry to do so,but it’s helpless to say sorry.

I want a good job,I must support my parents.

Now you have seen my technical capabilities.

How much my year-salary now? NO more than ,500.

What do you think of this fact?

Don’t call my names,I have no hostility.

Can you help me?

基于该病毒的这个信息，金山毒霸命名为wantjob病毒，全称为：Worm.wantjob.57345。

7.启动感染网上邻居的线程。该线程发现可写的共享目录时，会随机生成一个文件名，并将病毒自身进行加密，用该文件名将病毒复制过去。然后Sleep8小时再感染一次。文件的长度会有60168.60169等的变化。文件名的生成规则：

第一部分随机生成的名字为字母或数字，最后补一个“。”，

第二部分在Htm.Doc.Jpg.Bmp.Xls.Cpp.Html.Mpg.Mpeg中选择一个。

第三部分补上exe作为扩展名。

8.启动26个线程，遍历硬盘.网络盘一遍找满足扩展名需求的文件，这个文件名将用于邮件发送

9.进入一个循环，检查本地的时间，如果时间为1月13日，则马上启动26个破坏线程，该线程查找硬盘上的所有文件，并用内存中的数据覆盖硬盘上的文件。

查杀方法

求职信专杀工具

工具名称： Duba_WantJob.EXE 最新版本： 2002.5.11.26

最后更新日期： 2002年05月11日 16:56:40

适用平台： Windows95/98/ME/2000/NT

2002.5.11.26 支持查杀中文求职信 (Worm.donghe.49152 、 Worm.donghe.b.49152)

05-11 16:56:40

2002.4.25.24 改进对一些不规则文件的查杀 04-27 14:15:05

2002.4.25.22 修正在win2000查文件非法操作的问题 04-25 19:04:36

2002.4.24.21 主要功能：

1、完整清除整个求职信系列（括号内为AVP命名）：

Worm.WantJob.57344 （I-Worm.Klez.A）

Worm.WantJob.61440 （I-Worm.Klez.B）

Worm.WantJob.57345 （I-Worm.Klez.C）

Worm.WantJob.65536 （I-Worm.Klez.D）

Worm.WantJob.73744 （I-Worm.Klez.E）

Worm.WantJob.81936 （I-Worm.Klez.H）

Worm.WantJob.93760 （I-Worm.Klez.I）

Win32.WantJob.Klez.3326 （Win32.Klez）

Win32.WantJob.E.Klez.4926 （Win32.Klez.B）

Win32.WantJob.H.Foroux.10240 （Win32.Elkern.C）

2、完整内存清除病毒

3、体积更小，不足50KB；

4、查毒速度更快（提高1倍以上）；

5、提供快速文件类型过滤，只查可能被感染的文件，速度 > 300个文件/秒

词条	Win32.WantJob
释义	病毒介绍病毒行为查杀方法同类病毒病毒介绍病毒别名：W32.Klez.A@mm[NAV]，I-Worm.Klez.c[AVP] 处理时间：2001-10-26 威胁级别：★★★★ 中文名称：求职信病毒类型：Win32病毒影响系统：Win9x / WinNT 病毒行为这是一个广泛传播的混合型蠕虫病毒，主要通过邮件和网络共享传播，危害极大。 1.首先将自己要用到的字符串解码。 2.启动一个线程不停的查询内存中的进程.检查是否有一些杀毒软件存在（如AVP/NAV/NOD/Macfee等）。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次，以至于这些杀毒软件无法运行。 3.接着病毒启动另一个线程，用来创建一个名为WQK.EXE的文件运行.拷贝到的目录。然后将自身复制到的目录。 4.然后修改注册表，使自己的每次系统启动都自动运行。 5.将自己注册为系统的服务进程。 6.启动一个线程用于发送邮件，病毒再次利用Nimda病毒利用的Iframe ExecCommand漏洞，使没有打IE补丁的用户收到邮件后会自动运行。病毒会随机选取以下语句作为邮件主题： Hi Hello How are you? Can you help me? We want peace Where will you go? Congratulations!!! Don’t Cry Look at the pretty Some advice on your shortcoming Free XXX Pictures A free hot porn site Why don’t you reply to me? How about have dinner with me together? Never kiss a stranger 邮件正文部分为空，但编码中有一段注释： I’m sorry to do so,but it’s helpless to say sorry. I want a good job,I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? NO more than ,500. What do you think of this fact? Don’t call my names,I have no hostility. Can you help me? 基于该病毒的这个信息，金山毒霸命名为wantjob病毒，全称为：Worm.wantjob.57345。 7.启动感染网上邻居的线程。该线程发现可写的共享目录时，会随机生成一个文件名，并将病毒自身进行加密，用该文件名将病毒复制过去。然后Sleep8小时再感染一次。文件的长度会有60168.60169等的变化。文件名的生成规则：第一部分随机生成的名字为字母或数字，最后补一个“。”，第二部分在Htm.Doc.Jpg.Bmp.Xls.Cpp.Html.Mpg.Mpeg中选择一个。第三部分补上exe作为扩展名。 8.启动26个线程，遍历硬盘.网络盘一遍找满足扩展名需求的文件，这个文件名将用于邮件发送 9.进入一个循环，检查本地的时间，如果时间为1月13日，则马上启动26个破坏线程，该线程查找硬盘上的所有文件，并用内存中的数据覆盖硬盘上的文件。查杀方法求职信专杀工具工具名称： Duba_WantJob.EXE 最新版本： 2002.5.11.26 最后更新日期： 2002年05月11日 16:56:40 适用平台： Windows95/98/ME/2000/NT 2002.5.11.26 支持查杀中文求职信 (Worm.donghe.49152 、 Worm.donghe.b.49152) 05-11 16:56:40 2002.4.25.24 改进对一些不规则文件的查杀 04-27 14:15:05 2002.4.25.22 修正在win2000查文件非法操作的问题 04-25 19:04:36 2002.4.24.21 主要功能： 1、完整清除整个求职信系列（括号内为AVP命名）： Worm.WantJob.57344 （I-Worm.Klez.A） Worm.WantJob.61440 （I-Worm.Klez.B） Worm.WantJob.57345 （I-Worm.Klez.C） Worm.WantJob.65536 （I-Worm.Klez.D） Worm.WantJob.73744 （I-Worm.Klez.E） Worm.WantJob.81936 （I-Worm.Klez.H） Worm.WantJob.93760 （I-Worm.Klez.I） Win32.WantJob.Klez.3326 （Win32.Klez） Win32.WantJob.E.Klez.4926 （Win32.Klez.B） Win32.WantJob.H.Foroux.10240 （Win32.Elkern.C） 2、完整内存清除病毒 3、体积更小，不足50KB； 4、查毒速度更快（提高1倍以上）； 5、提供快速文件类型过滤，只查可能被感染的文件，速度 > 300个文件/秒同类病毒 “求职信”（Wantjob）病毒该病毒不仅具有尼姆达病毒自动发信、自动执行、感染局域网等破坏功能，而且在感染计算机后还不停地查询内存中的进程，检查是否有一些杀毒软件的存在（如AVP/NAV/NOD/Macfee等）。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次，以至于这些杀毒软件无法运行。该病毒如果感染的是Windows NT/2000系统的计算机，即把自己注册为系统服务进程，一般方法很难杀灭。它还不停地向外发送邮件，把自己伪装成“Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg”类型文件中的一种，文件名也是随机产生的，很具隐蔽性。
随便看	硫化仪硫化异丁烯硫化银硫化作用硫化铊硫化铵硫化锂硫化锶硫化镉硫化羰硫黄硫黄翅鹦哥硫黄岛硫黄岛登陆战硫黄岛级两栖攻击舰硫黄岛来信硫黄岛战役硫黄杜鹃硫黄菊硫黄菌硫黄列岛硫黄丸硫黄粥硫黄鹀硫磺

病毒介绍

病毒行为

查杀方法

同类病毒