“Worm.Klez病毒”的意思、由来-中文百科全书

病毒信息

被感染消息的题目与附件的名字是可变的，它利用了一个IE已知的安全漏洞(IFRAME vulnerability)，当一个已经被感染的消息打开时，他将自动启动。它不仅在本地的网络散布并且通过电子邮件消息传播。它会在WINDOWS临时文件夹下建立一个可执行文件，名字为以字母K开头的随意一个的名字( 如KB180.exe )然后把“ Win32.Klez ”病毒写进去，并且启动该病毒。这个病毒在所有可利用的计算机的磁盘上感染大部分的WIN32下的PE格式的可执行程序。

当一个已经感染的文件被启动，这个WORM把自己的一个副本复制到WINDOWNS系统文件夹下，命名为“krn132.exe”，他会把如下键值写入注册表（如下）并且随WINDOWNS一起启动。

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

Krn132 = %System%\\Krn132.exe

其中%System%是系统文件夹的名字

当这个病毒寻找到以下运行中的应用程序，他将使用"TerminateProcess" 命令强制卸载他们。

_AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS

传播方式

用EMAIL进行传播

病毒会使用SMTP协议发送EMAIL消息。他会在你的WAB数据库中找到EMAIL地址，同时把含有病毒的消息发送给他们。

带毒邮件的主题是从下面内容中随机选出的：

Hello

How are you?

Can you help me?

We want peace

Where will you go?

Congratulations!!!

Don't cry

Look at the pretty

Some advice on your shortcoming

Free XXX Pictures

A free hot porn site

Why don't you reply to me?

How about have dinner with me together?

Never kiss a stranger

邮件正文如下：

I'm sorry to do so,but it's helpless to say sory. I want a good job,I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? NO more than $5,500. What do you think of this fact? Don't call my names,I have no hostility. Can you help me?

邮件的附件是随意名字的WIN32下的PE格式可执行文件，他用.EXE的扩展名，或双扩展名（如：name.ext.exe）

它在所有可利用的驱动器中扫描以下扩展名的文件：

.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg

它用所找到的文件其中的一个作为附件的主文件名，然后把它加上第二个文件扩展名".exe",例如："Ylhq.htm.exe", "If.xls.exe",等等

它会向感染消息中插入一个“FROM”地址，该地址可能是随机产生，或者是一个真实的EMAIL地址。

这个蠕虫有一个非常有趣的特点：在这个被感染消息发送以前，把找到的EMAIL列表写入到它本身的可执行程序中。

病毒体内的所有字符串（消息与地址）都是以加密状态进行存储。

在本地驱动器与网络驱动器之间传播

病毒会WORM枚举所有具有写权限的本地驱动器与网络驱动器，复制一个随机命名的副本到找到的本地驱动器与网络驱动器，（随机命名的方式与附件命名的方式相似）然后病毒把自己作为系统服务应用程序注册到远程机器上。

这个蠕虫在偶数月份的13日发作，它把染毒计算机磁盘上所有的文件用随机内容进行填充。除非文件有备份，否则这些被病毒破坏的文件是无法恢复的。

清除

RS_klez.exe：瑞星杀毒软件的I-Worm.Klez专杀版本。

因为这个病毒利用了IE的mediaplayer漏洞所以一预览就自动打开，Microsoft已经出了补丁，所以建议大家去Windows Update升级

词条	Worm.Klez病毒
释义	这是一个通过INTERNET以及EMAIL附件传播感染的蠕虫类病毒。它本身是一个WINDOWS PE格式的可执行程序，大约在57-65K之间（依他的版本而定），是用MICROSOFT VISUALC++编写。病毒信息传播方式(用EMAIL进行传播在本地驱动器与网络驱动器之间传播) 清除病毒信息被感染消息的题目与附件的名字是可变的，它利用了一个IE已知的安全漏洞(IFRAME vulnerability)，当一个已经被感染的消息打开时，他将自动启动。它不仅在本地的网络散布并且通过电子邮件消息传播。它会在WINDOWS临时文件夹下建立一个可执行文件，名字为以字母K开头的随意一个的名字( 如KB180.exe )然后把“ Win32.Klez ”病毒写进去，并且启动该病毒。这个病毒在所有可利用的计算机的磁盘上感染大部分的WIN32下的PE格式的可执行程序。当一个已经感染的文件被启动，这个WORM把自己的一个副本复制到WINDOWNS系统文件夹下，命名为“krn132.exe”，他会把如下键值写入注册表（如下）并且随WINDOWNS一起启动。 HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run Krn132 = %System%\\Krn132.exe 其中%System%是系统文件夹的名字当这个病毒寻找到以下运行中的应用程序，他将使用"TerminateProcess" 命令强制卸载他们。 _AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS 传播方式用EMAIL进行传播病毒会使用SMTP协议发送EMAIL消息。他会在你的WAB数据库中找到EMAIL地址，同时把含有病毒的消息发送给他们。带毒邮件的主题是从下面内容中随机选出的： Hello How are you? Can you help me? We want peace Where will you go? Congratulations!!! Don't cry Look at the pretty Some advice on your shortcoming Free XXX Pictures A free hot porn site Why don't you reply to me? How about have dinner with me together? Never kiss a stranger 邮件正文如下： I'm sorry to do so,but it's helpless to say sory. I want a good job,I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? NO more than $5,500. What do you think of this fact? Don't call my names,I have no hostility. Can you help me? 邮件的附件是随意名字的WIN32下的PE格式可执行文件，他用.EXE的扩展名，或双扩展名（如：name.ext.exe）它在所有可利用的驱动器中扫描以下扩展名的文件： .txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg 它用所找到的文件其中的一个作为附件的主文件名，然后把它加上第二个文件扩展名".exe",例如："Ylhq.htm.exe", "If.xls.exe",等等它会向感染消息中插入一个“FROM”地址，该地址可能是随机产生，或者是一个真实的EMAIL地址。这个蠕虫有一个非常有趣的特点：在这个被感染消息发送以前，把找到的EMAIL列表写入到它本身的可执行程序中。病毒体内的所有字符串（消息与地址）都是以加密状态进行存储。在本地驱动器与网络驱动器之间传播病毒会WORM枚举所有具有写权限的本地驱动器与网络驱动器，复制一个随机命名的副本到找到的本地驱动器与网络驱动器，（随机命名的方式与附件命名的方式相似）然后病毒把自己作为系统服务应用程序注册到远程机器上。这个蠕虫在偶数月份的13日发作，它把染毒计算机磁盘上所有的文件用随机内容进行填充。除非文件有备份，否则这些被病毒破坏的文件是无法恢复的。清除 RS_klez.exe：瑞星杀毒软件的I-Worm.Klez专杀版本。因为这个病毒利用了IE的mediaplayer漏洞所以一预览就自动打开，Microsoft已经出了补丁，所以建议大家去Windows Update升级
随便看	回路仪回禄回禄之灾回轮回落回落村回洛仓回马回马坡回马枪回马泉回马山回马镇回马中学回盲瓣回盲瓣综合征回美纸回门回门酒回门楼回门宴回梦游宋回梦游仙回面回描