您的位置:主页 >>  病毒信息 >>  网络病毒专科



    

求职信(Klaz)病毒及其变种专题

  技术资料
     
>>“求职信”病毒资料

   该病毒基本分为两部分:一部分是狭义上的病毒,它感染PE结构文件,病毒大小约为3K,用汇编语言编写;第二部分是蠕虫大小为56K,它在运行中会释放并运行一个11722字节的带毒的PE文件。第二部分是用VC++编写的,它只可以在WINDOWS 9X或WINDOWS2000上运行,在NT4上无法运行。
  
   它的传播方式有四种:
  
   第一种:通过INTERNET邮件,它搜索当前用户的地址簿文件中的类邮件地址的文本内容,或随机计算邮件地址,通过WINDOWS的SOCKET函数集用SMTP服务器发送自己这个带毒木马,邮件文件是由木马部分形成,并且该邮件会在OUTLOOK EXPRESS下自动执行,它的主题是随机的,但以下几种情况:
   Hi
   Hello
   How are you?
   Can you help me?
   We want peace.
   Where will you go?
   Congratulations!!!
   Don't cry.
   Look at the pretty.
   Some advice on your shortcoming.
   Free XXX Pictures.
   A free hot porn site.
   Why don't reply to me?
   How about have dinner with me together?
   信的正文为:
   I'm sorry to do so,but it's helpless to say sorry.
   I want a good job,I must support my parents.
   Now you have seen my technical capabilities.
   How much my year-salary now? NO more than $5,500.
   What do you think of this fact?..Don't call my names,I have no hostility.
   Can you help me?
   
  
   第二种:通过网络邻居,它搜索所有的网络连接,查找共享目录,将自己的文件放到享目录中,并试图让远程计算机将它作为一个服务启动。
   
   第三种:通过磁盘传播,它创建专门的线程感染磁盘,如果当前日期奇数月的13号,将找到的文件内容进行复制。
  
   第四种:方式病毒感染。
  
   病毒部分的运行过程:
  
   一、解密后面的代码长度258H字节
   二、然后病毒在内存中查找KERNEL32模块,并根据名字的检验字找到一大批函数入口,这些函数供后面的代码调用。
   三、申请内存,将所有代码拷贝到申请的内存中,并转申请的内存执行。
   四、查检有无调试程序(调IsDebugPresent函数),如在调试程序下运行,终止病毒代码,返回到原宿主程序(如果是配套的木马,则返回到操作系统)。
   五、启动感染代码,如未在调试程序下运行,在SYSTEM(由GetSystemDirectory)目录感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。
   六、将当前进程注册为服务进程。
   七、创建感染线程,根据系统时间,如果为13号且为3月或9月,感染所有硬盘或网络盘文件。否则感染系统目录。某些条件下创始的感染线程会启动另一个感染线程,直到系统崩溃。
   八、如果是NT操作系统,同时感染所有网络邻居。
   九、返回宿主或操作系统。
  
   木马部分运行过程:
  
   一、解码所有字符串。
   二、改变当前进程访问权限。
   三、启动线程1,线程1的作用如下:
   检查当前所有进程,如果有以下进程(部分匹配),则终止这些进程:
   _AVP32, _AVPCC, _AVPPM, ALERTSVC,AMON
   AVP32,AVPCC,AVPM,N32SCANW,NAVAPSVC,
   NAVAPW32,NAVLU32,NAVRUNR,NAVW32,NAVWNT,
   NDD32,NPSSVC,NRESQ32,NSCHED32,NSCHEDNT,
   NSPLUGIN,SCAN,SMSS
  
   如果是WINDOWS9X系统,将当前程序设为自启动(Software\Microsoft\Windows\CurrentVersion\Run)线程永不终止。
   四、启动线程2,作用如下:
   复制自己,运行后删除,然后线程终止。
   五、在系统目录中创建KRNL32.EXE,如果是9X,运行它,并将它放入 Software\Microsoft\Windows\CurrentVersion\Run 中自动运行。如果是2000系统,
   将它作为Service启动。
   六、创建线程3,发送EMAIL。
   创建线程4,感染网络所有共享文件,每8小时搜索一次。
   创建线程5,搜索磁盘文件。
   创建线程6,检查当前日期是否为奇数月的13号,如是,将所有文件复制一次,线程5小时运行一次,永不退出。

>>“求职信”变种病毒资料

解决方案

瑞星2002版13.24版本以上均可查杀“求职信”病毒,其变种(Klez.e Klez.f Klez.g)也于瑞星2002版13.40.02版本被截杀。

  相关新闻
     
     瑞星率先截获“求职信”恶性病毒(10-27 12:52)
     “尼姆达”刚走 “求职信”病毒又来(11-15 11:17)
     “求职信”病毒流窜 数万台电脑瘫痪 (11-13 11:35)
     “求职信”病毒发现数例 沪上电脑“中毒”不深 (10-31 11:09)
     “求职信”病毒击垮一物流公司 (10-29 9:39)
      收到“求职信”千万别打开 (10-29 9:32)
    

 

      (瑞星公司提供紧急救援上门服务,联系电话:86243399-531)