病毒名称:W32.Klez.H@mm
病毒大小:大约90K
瑞星命名:Worm.Klez.L
W32.Klez.H(Worm.Klez.L)是一个被更改过的W32.Klez.E@mm,这个变种可以通过Email和网络共享传播,感染文件。
如果病毒被运行后,病毒会将自身拷贝到SYSTEM目录下取名为Wink[随机字符].exe。
病毒在注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
下添加:
Wink[随机字符] %System%\Wink[随机字符].exe
或者创建:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[随机字符]并添加一个键值,使得系统启动时病毒也可以运行。
病毒试图通过停止一些进程来终止反病毒软件以及阻止一些蠕虫的运行,病毒会删除下列文件:
Anti-Vir.dat
Chklist.dat
Chklist.ms
Chklist.cps
Chklist.tav
Ivb.ntz
Smartchk.ms
Smartchk.cps
Avgqt.dat
Aguard.dat
病毒还会将自身拷贝至本地、映射网络驱动器中,文件名可能为:
双扩展名的随机文件,如Filename.txt.exe
双扩展名的.rar文件,如Filename.txt.rar
病毒会搜索Windows地址簿、ICQ数据库及本地文件中的所有邮件地址,并将自己作为邮件的附件发送给上述邮件地址,病毒有自己的SMTP引擎。
带毒邮件的主题、邮件正文、附件名称都是随机的,其邮件来源(From:项)是从被感染机器上所找到的邮件地址中随机选取的。
病毒从如下后缀名的文件中搜索邮件地址:
.mp8
.exe
.scr
.pif
.bat
.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf
邮件标题可能为:
Undeliverable mail--"[随机字符]"
Returned mail--"[随机字符]"
a [随机字符] [随机字符] game
a [随机字符] [随机字符] tool
a [随机字符] [随机字符] website
a [随机字符] [随机字符] patch
[随机字符] removal tools
how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures
其中[随机字符]可能是下列之一:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky
邮件正文的内容是随机的。
如果在未打补丁的Outlook或Outlook Express中打开病毒邮件,邮件附件会自动运行。
病毒感染可执行文件时先创建一个待感染文件的副本,并将文件副本加密,但该副本中不含病毒代码,文件副本与原文件名相同,但是扩展名是随机的。然后病毒将待染毒文件用病毒覆盖。
病毒会向Program Files目录中释放另一个病毒,文件名随机,并运行它。 |