简介

特征

预防

简介

求职信（WANTJOB）病毒

病毒名称：Worm.wantjob.57345 危害性：高

病毒运行的过程：

1、 首先将自己要用到的字符串解码。

2、 启动一个线程不停的查询内存中的进程、检查是否有一些杀毒软件存在（如AVP/NAV/NOD/Macfee等）。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次，以至于这些杀毒软件无法运行。......

“求职信”不仅具有尼姆达病毒自动发信、自动执行、感染局域网等破坏功能，而且在感染计算机后还不停的查询内存中的进程、检查是否有一些杀毒软件存在（如AVP / NAV/ NOD/ Macfee等）。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次，以至于这些杀毒软件无法运行。

特征

目前大规模流行的“求职信”病毒新变种和原来的“求职信”病毒一样，通过邮件进行传播，并具有七大特征：

1.“求职信”系列变种病毒利用微软系统的漏洞，可以自动感染，无须打开附件，因此危害性很大。

2.这次的变种具有很强的隐蔽性，可以“随机应变”地自动改换不同的邮件主题和内容，瓦解邮件接收者的警惕性。

3.在邮件内部存放发送信息的一部分，这些变种病毒会伪造虚假信息，掩盖病毒的真实来源。

4.能够绕开一些流行杀毒软件的监控，甚至专门针对一些杀毒软件进行攻击。

5.除开可以在网络上利用邮件进行传播外，这些变种病毒还可以利用局域网上的共享文件夹进行传染，其传播特点类似“尼姆达”病毒，因此对于某些不能查杀局域网共享文件病毒的单机版杀毒软件，这将意味着在网络环境下，根本无法彻底清除病毒。

6.目前已经开始在网络上出现的一些“求职信”变种的专杀工具，由于无法适用于所有的变种，因此在杀除一些变种病毒时，会连病毒带文件一同删除，结果造成杀病毒把电脑一起“杀死”的情况。

7.传统杀毒软件清除该病毒需要在DOS系统下进行。

预防

需要注意的是：一旦该网络蠕虫被运行的话，大多数的反病毒软件会被自动终止。那么如何预防和清除该病毒呢？

预防方法：要阻止该网络蠕虫利用电子邮件传播，用户必须安装相应的补丁程序，

在WINDOWS 95/98/ME系统下的清除：先运行在WINDOWS 95/98/ME系统下的安全模式下，使用注册表编辑工具regedit将网络蠕虫增加的键值删除：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun

和HKEY_LOCAL_MACHINESystemCurrentControlSetServices

要删除的注册表项目是wink——?.exe的键值。

同时还必须相应的将WINDOWS的SYSTEM目录下的该随机文件Wink——?.exe删除,注意还必须将回收站清空。删除了相应的病毒文件后，可以重新启动计算机，然后，在KVW3000的安装目录下执行KVD3000.EXE来清除该病毒。注意一些全部是网络蠕虫的程序或者文件是需要按照提示完全删除的。

(2)在Windows 2000/XP系统下的清除:

清除方法基本和Windows 95/98/ME系统下的清除方法相同：先以安全模式启动计算机，运行注册表编辑工具，同样删除该网络蠕虫增加的键值：HKEY_LOCAL_MACHINESystemCurrentControlSetServices,要删除病毒增加的表项是：

wink开头的随机的表项。当然你必须记住该项目的具体名称(虽然是随机的),然后在系统目录下将该文件删除。注意该文件是隐含的，您必须打开显示所有文件的选择项目才能查看该病毒文件。同样的注册表项还有HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun从以上的分析来看：该网络蠕虫的传播感染使用了多种手段、方法，几乎覆盖了所有的目前流行的传播方式，建议用户及时升级自己的KV3000查杀病毒软件来查杀该病毒。