首页 新闻 搜索 短信 分类 聊天 导航
新浪首页 > 科技时代 > 软件 > KV3000:反病毒的七种武器专题 > 正文

江民公司查杀“求职信”网络蠕虫(I-WORM.Klez)病毒

http://www.sina.com.cn 2002年01月07日 14:50 新浪科技

  国家计算机病毒应急处理中心成员单位,北京江民新科技术有限公司病毒快速反应小组率先捕获了一种新的网络蠕虫病毒,其英文名为:I-WORM.Klez,中文名由国家计算机病毒应急处理中心建议为:“求职信”病毒。

  江民公司提醒广大用户,该病毒传染能力极强,请加强防范,立即升级KV3000反病毒软件。

  该病毒特性如下:

  病毒传染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000。

  邮件部分和Nimda/Sircam非常相似,它用WAB文件来获取EMail地址,使用内在的SMTP引擎来发送EMail。邮件内容是HTML,Klez用IFRAME漏洞在受害者的电脑上来执行自己,而不需要用户运行附件。

  I-WORM.Klez蠕虫,通过从下面列表中随机选择一个标题的EMail来传播自己:

  "Hi"

  "Hello"

  "How are you?"

  "Can you help me?"

  "We want peace"

  "Where will you go?"

  "Congratulations!!!"

  "Don't cry"

  "Look at the pretty"

  "Some advice on your shortcoming"

  "Free XXX Pictures"

  "A free hot porn site"

  "Why don't you reply to me?"

  "How about have dinner with me together?"

  "Never kiss a stranger"

  附件中的文件名是随机的,发送地址是任意的字母加上yahoo.com或hotmail.com或sina.com或其他在病毒列表中的任意一个。

  信件内容如下:

  "I'm sorry to do so,but it's helpless to say sorry.

  I want a good job,I must support my parents.

  Now you have seen my technical capabilities

  How much my year-salary now? NO more than ,500

  What do you think of this fact?

  Don't call my names,I have no hostility

  Can you help me?"

  蠕虫试图使用某些版本的OutLook、OutLook Express、Internet Explorer的一个MIME漏洞来获取自动运行,而不需要用户双击附件。

  蠕虫将自身拷贝到远程共享的机器上,文件是随机的。它也将自己拷贝到Windows系统目录中,文件名是krn132.exe,并释放病毒程序WQK.EXE。蠕虫设置注册键值

  HKLMSoftwareMicrosoftWindowsCurrentVersionRunkrn132指向自己存放的位置。

  HKLMSoftwareMicrosoftWindowsCurrentVersionRunWQK指向自己存放的位置。

  在Windows2000中:

  HKLMSoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs="Wqk.dll"

  该蠕虫在系统启动项中增加了两项:

  WINDOWSSYSTEMKRN132.EXE

  WINDOWSSYSTEMWQK.EXE

  这样,系统启动时病毒就被运行。在患毒的机器中,病毒企图自动拨号上网传播。当运行时,它首先解密所有需要复制的字符串。为了防止被怀疑,所有的字符串都简单地加密了。然后,它会初始化复制所需要的Socket库。然后,依赖操作系统,它会任意地尝试注册可执行的服务或隐藏的进程。再这以后,Klez将试图杀死内存中的反病毒程序。另外一个线程会释放并运行一个携带的病毒--Win32/ElKern,病毒将会在感染的计算机上繁殖。

  蠕虫拷贝自己到系统目录,名字为krn132.exe。为了保证蠕虫能在下次启动的时候运行,会将自身注册到启动的注册表项。然后,Klez将创建2个传播线程。一个是EMail传播,另外一个是局域网传播。在这点上,Klez也将创建26个线程,每一个线程对应一个驱动器,他们会查找下列后缀的文件。"txt", "htm", "doc", "jpg", "bmp", "xls", "cpp", "html", "mpg"和"mpeg"。

  如果日期是每个月的13号,Klez将调用它的发作部分。它将搜索每一个硬盘或映射盘从A到Z并毁掉所有的文件,很难恢复。日期的检查10分钟完成。

  局域网传播线程每8小时激活一次,它将搜索局域网中所有的远程共享,并创建双扩展名的文件,如.doc.exe、.xls.exe,第一个扩展名是随机的,而第2个扩展名总是.exe。而且它会试图使用服务控制管理器远程执行这些文件。

  病毒的清除:

  1如果用户硬盘装的系统是WINDOWS 98以下,可使用干净DOS软盘启动机器;

  2执行KVD3000.EXE或KV3000.EXE,查杀所有硬盘中的病毒。

  3修改注册表项:

  a在WINDOWS“开始”栏内,运行REGEDIT,

  b删除:HKLMSoftwareMicrosoftWindowsCurrentVersionRun

  删除其中的名称为WINDOWSSYSTEMKRN132.EXE的键值

  删除其中的名称为WINDOWSSYSTEMWQK.EXE的键值

  在Windows2000中:

  HKLMSoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs="Wqk.dll"

  删除其中的名称为WQK.DLL的键值

  4修改系统启动项:

  a在WINDOWS“开始”栏内,运行MSCONFIG,

  去掉其中的名称为WINDOWSSYSTEMKRN132.EXE的勾值

  去掉其中的名称为WINDOWSSYSTEMWQK.EXE的勾值

  5为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。

  地址是:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

  这样可以预防此类病毒的破坏。

  6 WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。

  7如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区。

  8开启KVW3000实时监测病毒防火墙。

  9再将邮箱中的带毒邮件一一删除,否则又会重复感染。

  WINDOWS/NT/2000/XP系统的NTFS硬盘分区患有此毒时,处理比较烦琐。因用DOS软盘引导后不认硬盘分区,所以无法杀毒。在患毒的WINDOWS/NT/2000/XP系统下又杀不干净病毒。怎么办?不管是服务器还是单机的硬盘染此毒了,要想杀干净病毒,可按如下方法杀毒:

  a找一无毒的并装有WINDOWS/NT/2000/XP系统的机器,将KVW3000按装到此无毒的硬盘中。

  b将患毒的硬盘挂接在无毒的机器上做为副盘。

  c用无毒的主盘引导机器后,调用KVW3000或KVD3000查杀副盘中的病毒。

  该病毒传播能力极强,必须加强防范。

  广大电脑用户可在江民公司的网站上下载最新版本的KV3000系列可防杀该病毒。

  其网址:www.jiangmin.com

   闪烁短信--时尚至爱  动感短信--最佳祝福
      送祝福的话,给思念的人--新浪短信言语传情!


发表评论】【应用软件】【短信和E-Mail推荐】【关闭窗口

 相关链接
王江民:严加防范网络蠕虫I-WORM/Sircam病毒(2002/01/07 14:48)
KV3000:反病毒的七种武器专题


新 闻 查 询

订实用短信,获赠超大VIP邮箱、个人主页、网上相册!

发祝福短信得大奖
对方手机
发送内容[最多60字]

选择闪电方式
您的手机
您的密码
索取密码  
千首新浪短信点歌
闪电传情不看不行



分 类 信 息
投真实一票 获精彩大奖!
:D-LINK产品供货商
   ★联想IBM供货商
   华荣掌上电脑总汇
   数码录音复读机
   ¤高质量低价格¤
   移动存储专家科力
:圣诞节花给最爱
   进口车其实也不贵
   聆听春之先赞歌
   做女人"挺"好
:颐和园=谊和缘
   新网络服务器平让
:最新飞行器广告
   超级星期天招商
:全新人才招聘信息
   城市先锋网友会
:省内游优惠线路
   蔡屋围发展大厦租
:“郑明明” 送大礼
   千禧平安夜狂欢
:多功能车热销
   痘为何与年轻结缘
:好大夫美牙器
   超乎所值的性价比
分类信息刊登热线>>


科技时代意见反馈留言板 电话:010-82612286 或 010-82628888-3488   欢迎批评指正

网站简介 | 用户注册 | 广告服务 | 招聘信息 | 中文阅读 | Richwin | 联系方式 | 帮助信息

Copyright © 1996 - 2001 SINA.com, Stone Rich Sight. All Rights Reserved

版权所有 四通利方 新浪网