请输入您要查询的百科知识:

 

词条 Worm.Klez.a
释义

概述

病毒别名:I-Worm.Klez.a[AVP]

处理时间:

威胁级别:★★

中文名称:求职信变种

病毒类型:蠕虫

影响系统:Win9x / WinNT

病毒行为

这是一个带有破坏文件性质的蠕虫病毒。它将释放一个文件感染型病毒,在特定的时间里感染用户的磁盘数据。它将通过局域网文件共享,网络文件共享以及电子邮件进行传播。它利用了Microsoft Outlook或者Outlook Express的漏洞,使得用户在打开甚至是仅仅预览携带有该病毒的电子邮件时,自动运行附件里的病毒,从而感染该病毒。该病毒还在某些月份中的13号将用户本地磁盘、映射磁盘以及网络磁盘上的文件破坏,并将文件大小置为0。

技术细节

1.将自己复制为%System32%\\Krnl132.exe,并且释放文件%System32%\\Wqk.dll,该文件为文件感染型病毒W32.ElKern.3326。

2.修改注册表:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\

"AppInit_DLLs"="Wqk.dll"

可能添加表项:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"krn132"="%System%\\krn132.exe"

3.尝试禁止病毒扫描器,然后查找本地磁盘,映射磁盘和网络磁盘,如果找到就尝试将自己以随机文件名复制到其中,文件名是多重扩展名,

比如Filename.txt.exe,伪装成文本文件等非可执行程序,以迷惑用户去打开它。

4.搜索Microsoft Outlook的地址薄里面的电子邮件地址,然后将自己以邮件附件的形式发送出去。

使用的邮件主题可能为下面主题之一:

How are you?

Can you help me?

We want peace

Where will you go?

Congratulations!!!

Don't cry

Look at the pretty

Some advice on your shortcoming

Free XXX Pictures

A free hot porn site

Why don't you reply to me?

How about have dinner with me together?

Never kiss a stranger

附件名是一个以.exe为结尾的随机文件名:

附件信息为(可能看不见,与客户段显示HTML邮件的方式有关):

I'm sorry to do so,but it's helpless to say sorry.

I want a good job,I must support my parents.

Now you have seen my technical capabilities.

How much my year-salary now? NO more than $5,500.

What do you think of this fact?

Don't call my names,I have no hostility.

Can you help me?

由于MS01-020漏洞(详情参见http://www.microsoft.com/technet/security/bulletin/MS01-020.asp),如果用户是用Microsoft Outlook或

者Outlook Express收到这种邮件的话,邮件的附件将会自动执行。

5.在每年的2月,3月,4月,5月, 7月, 9月以及11月的13号,它将使本地磁盘,映射磁盘和网络磁盘上的文件大小都变为0。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/11/16 6:37:39