首页 新闻 搜索 短信 分类 聊天 导航
新浪首页 > 科技时代 > 软件 > 正文
江民公司发布“求职信”病毒解决方案

http://www.sina.com.cn 2001年10月29日 09:15 新浪科技

  国家计算机病毒应急处理中心成员单位,北京江民新科技术有限公司病毒快速反应小组率先捕获了一种新的网络蠕虫病毒,其英文名为:I-WORM.Kiez,中文名由国家计算机病毒应急处理中心建议为:“求职信”病毒。

  江民公司提醒广大用户,该病毒传染能力极强,请加强防范,立即升级KV3000反病毒软件。

  该病毒特性如下:

  病毒传染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000。

  邮件部分和Nimda/Sircam非常相似,它用WAB文件来获取EMail地址,使用内在的SMTP引擎来发送EMail。邮件内容是HTML,Klez用IFRAME漏洞在受害者的电脑上来执行自己,而不需要用户运行附件。

  I-WORM.Kiez蠕虫,通过从下面列表中随机选择一个标题的EMail来传播自己:

  "Hi"

  "Hello"

  "How are you?"

  "Can you help me?"

  "We want peace"

  "Where will you go?"

  "Congratulations!!!"

  "Don't cry"

  "Look at the pretty"

  "Some advice on your shortcoming"

  "Free XXX Pictures"

  "A free hot porn site"

  "Why don't you reply to me?"

  "How about have dinner with me together?"

  "Never kiss a stranger"

  附件中的文件名是随机的,发送地址是任意的大写字母加上yahoo.com或hotmail.com或sina.com或其他在病毒列表中的任意一个。

  信件内容如下:

  "I'm sorry to do so,but it's helpless to say sorry.

  I want a good job,I must support my parents.

  Now you have seen my technical capabilities

  How much my year-salary now? NO more than ,500

  What do you think of this fact?

  Don't call my names,I have no hostility

  Can you help me?"

  蠕虫试图使用某些版本的OutLook、OutLook Express、Internet Explorer的一个MIME漏洞来获取自动运行,而不需要用户双击附件。

  蠕虫将自身拷贝到远程共享的机器上,文件是随机的。它也将自己拷贝到Windows系统目录中,文件名是krn132.exe,并释放病毒程序WQK.EXE。蠕虫设置注册键值

  HKLMSoftwareMicrosoftWindowsCurrentVersionRunkrn132指向自己存放的位置。

  HKLMSoftwareMicrosoftWindowsCurrentVersionRunWQK指向自己存放的位置。

  该蠕虫在系统启动项中增加了两项:

  WINDOWSSYSTEMKRN132.EXE

  WINDOWSSYSTEMWQK.EXE

  这样,系统启动时病毒就被运行。在患毒的机器中,病毒企图自动拨号上网传播。

  当运行时,它首先解密所有需要复制的字符串。为了防止被怀疑,所有的字符串都简单地加密了。然后,它会初始化复制所需要的Socket库。然后,依赖操作系统,它会任意地尝试注册可执行的服务或隐藏的进程。再这以后,Klez将试图杀死内存中的反病毒程序。另外一个线程会释放并运行一个携带的病毒--Win32/ElKern,病毒将会在感染的计算机上繁殖。

  蠕虫拷贝自己到系统目录,名字时krn132.exe。为了保证蠕虫能在下次启动的时候运行,会将自身注册到启动的注册表项。

  然后,Klez将创建2个传播线程。一个是EMail传播,另外一个是局域网传播。

  在这点,Klez也将创建26个线程,每一个线程对应一个驱动器,他们会查找下列后

  缀的文件。"txt", "htm", "doc", "jpg", "bmp", "xls", "cpp", "html", "mpg"和"mpeg".

  如果日期是每个月的13号,Klez将调用它的发作部分。它将搜索每一个硬盘或映射盘从A到Z并毁掉所有的文件,很难恢复。日期的检查10分钟完成。

  局域网传播线程每8小时激活一次,它将搜索局域网中所有的远程共享,并创建双扩展名的文件,如.doc.exe、.xls.exe,第一个扩展名是随机的,而第2个扩展名总是.exe。而且它会试图使用服务控制管理器远程执行这些文件。

  病毒的清除:

  1如果用户的硬盘分区是WINDOWS NI4、WINDOWS 2000、WINDOWS XP的NTFS格式,请用户安装KVW3000 5.0以上版本,该版本可在任何WINDOWS系统下杀除内存和被WINDOWS已经调用的染毒文件,可在系统染毒的情况下杀除病毒,目前只有KVW3000真正具备内存杀毒和毒中杀毒这一技术。

  方法是:双击桌面上KVW3000的快捷图标,调出菜单即可。

  2如果用户硬盘装的系统是WINDOWS 98以下,也可使用干净DOS软盘启动机器;

  3执行KV3000.EXE或KVD3000,查杀所有硬盘中的病毒。

  4修改注册表项:

  a在WINDOWS“开始”栏内,运行REGEDIT,

  b删除:

  HKLMSoftwareMicrosoftWindowsCurrentVersionRun

  删除其中的名称为WINDOWSSYSTEMKRN132.EXE的键值

  删除其中的名称为WINDOWSSYSTEMWQK.EXE的键值

  5修改系统启动项:

  a在WINDOWS“开始”栏内,运行MSCONFIG,

  去掉其中的名称为WINDOWSSYSTEMKRN132.EXE的勾值

  去掉其中的名称为WINDOWSSYSTEMWQK.EXE的勾值

  6为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。

  地址是:

  http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

  这样可以预防此类病毒的破坏。

  7、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。

  8、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区

  9、开启KVW3000实时监测病毒防火墙。

  10、再将邮箱中的带毒邮件一一删除,否则又会重复感染。

  该病毒传播能力极强,必须加强防范。

  广大电脑用户可在江民公司的网站上下载最新版本的KV3000系列可防杀该病毒。

   订短信头条新闻 天下大事尽在掌握!
      新浪企业广场诚征全国代理


发表评论】【应用软件】【短信推荐】【关闭窗口

 相关链接
“毒王”入市--访北京江民科技总经理王江民 (2001/10/25 13:53)
江民公布前三季度病毒疫情研究报告 (2001/09/29 13:05)
江民推出KV3000多功能国际版杀毒软件 (2001/09/25 10:15)
“杀毒大王”王江民危机面前选择“价格战” (2001/09/24 09:08)

新 闻 查 询

新浪个人家园全面升级,买一送二超值大礼!




分 类 信 息
北京
  • 1.8元租别墅办公
  • 零投入=高回报
  • 专业大屏幕电视墙
  • 农家大院转让
    济南
  • 热气球庆典广告
  • 全国CAD培训
    上海
  • 百尺竿头更上一层
  • 奥索卡攀岩馆
    广东
  • 0.38元国际长途
    河南
  • 跨入汽车新世纪
    天津
  • 环保产品暖通空调
  • 分类信息刊登热线>>



    新浪商城推荐
      商城数码假日专题
  • MD数码音乐随心听
  • 数码相机560
  • 数码摄像机伴你游
  • 摄录拍E体机
  • 索尼P20数码相机
  • 便携CD/VCD播放器
     (以上推荐一周有效)
  • 更多精品特卖>>


    科技时代意见反馈留言板 电话:010-82612286 或 010-82628888-3488   欢迎批评指正

    网站简介 | 用户注册 | 广告服务 | 招聘信息 | 中文阅读 | Richwin | 联系方式 | 帮助信息

    Copyright © 1996 - 2001 SINA.com, Stone Rich Sight. All Rights Reserved

    版权所有 四通利方 新浪网