Worm.Klez.L是种蠕虫病毒,病毒体内包含大量加密字符串。由于此病毒能提升自身的运行级别,使得一般程序无法结束或访问它的进程,包括Windows自带的任务管理器。因此基本无法手工清除此病毒。
病毒在得到运行后,首先提升自身的运行级别,然后将自己复制到Windows系统目录下,文件名总以Wink开头,同时还会放出一个小病毒体(Win32.Foroux.exe),最后分别运行它 们并退出。当病毒被自己再次运行时,它会发现自身已处于系统目录下,此时病毒运行线路发生改变,它不再复制自身,而是创建7个病毒线程,并以系统服务的形式驻留内存。病毒的7个线程分别完成以下任务。
(1)遍历所有进程,杀掉对它有威胁的进程。稍后再作详细介绍。
(2)在本地硬盘搜索一些著名杀毒软件的数据文件,发现后立即后删除,导致它们无法运行。
(3)感染注册表中某些已登记安装了的软件,例如Explorer,WinZip,WinRAR,OutLook等,因为这些软件比较常用,可保证病毒被激活。
(4)搜索网络邻居中的可写文件夹,并将病毒体复制到其中,以便扩大传染面积。
(5)通过自带的SMTP客户端程序向用户地址簿的地址发送带毒邮件。邮件标题多为吸引人的标题。例如Christmas , Hope等。此邮件在老版本系统上会自动执行附件。
(6)将小病毒体释放到Program File目录中,文件名随机,并启动此小型病毒体(Win32 Foroux).病毒Win32 Foroux是个典型的文件型病毒,启动后即开始全盘感染可执行文件。由于病毒会识别受Win2K,WinXP的系统认证保护的文件,所以在病毒感染系统目录时,不会引起警报对话框。
(7)在Windows的Internet临时文件夹中搜寻对它有威胁的文件,找到后立即删除。从而阻止用户上网升级或下载对付它的程序。
病毒新增特点:
Worm.Klez.L的最大特点在于其抑制杀毒软件的能力大为提高,甚至包括一些著名病毒(它的早期版本),只要是阻碍Worm.Klez.L传播的软件它都不放过。它通过注册表和内存两方面破坏这些软件。
在启动时,它会遍历应用程序登记的安装路径。只要发现含有以下字符串,立刻删除所对应的键值。
_AVP32 _AVPCC NOD32 NPSSVC NRESQ32 NSCHED32
NSCHEDNT NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32
NAVRUNR NAVW32 _AVPM ALERTSVC AMON AVP32
AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD
AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95
ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98
AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95
CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton
Mcafee Antivir TASKMGR
这些字符串几乎覆盖了世界上所有的杀毒软件。
当病毒驻留内存后,病毒体内的一个线程不停地搜寻其他进程,只要在其一个模块中搜到以下一个字符串,立刻结束其运行。
Nimda(尼姆达) CodeRed(红色代码) WQKMM3878(Klez) GRIEF3878
Fun Loving Criminal Norton(诺顿) Mcafee Antivir
Avconsol F-STOPW F-Secure Sophos
Virus(最常见) AVP Monitor (AVP) AVP Updates(AVP) InoculateIT
PC-cillin(趋势) Symantec(诺顿) Trend Micro(趋势) F-PROT
NOD32
更可恶的是Worm.Klez.L还把此进程所对应的程序文件也给删除了。由于杀毒软件和某些工具的代码块或数据块中常包含此类字符串。并且病毒每次轮询的间隔只有64毫秒(加上搜索的时间也不过几秒)。在它之后启动的杀毒软件在点杀毒按钮前就已被干掉。以至于无法带毒杀毒。
有趣的是病毒作者在其病毒体内还特意留下了一大段吹嘘自己病毒的语句:
Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.Because of its very smart stealth and anti-anti-virus technic most common AV software can't detect or clean it.We developed this free immunity tool to defeat the malicious virus.You only need to run this tool once,and then Klez will never comesintosyour PC.NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.If so,Ignore the warning,and select 'continue'If you have any question,please mail to me.
Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks
fromshavingssuch idea to accomplishing coding and test
中文翻译如下:
Klez.E是最常见的全球性传播蠕虫。因其在隐秘和反反病毒技术方面的高度智能,使得它在破坏你的文件时十分危险。绝大部分的反病毒软件不能够发现或者清除它。我们开发这种免费的免疫工具用以对抗恶性病毒。你只需要运行一次这种工具,Klez就再也不会进入你的个人电脑。
注意:因为这个工具以虚拟一个Klez的方式来欺骗真正的蠕虫,所以一些反病毒实时监控可能会在您运行它时发出警报。如果这样,跳过这个警告,并选择'continue'。如果你仍有问题,请与我mail联系。
Win32 klez 2.01版和Win32 Foroux 1.0版
Copyright 2002,made in Asia
关于Klez 2.01版
1、主要任务是发表一个新的子PE病毒:Win32 Foroux
2、没有重大变化,没有修改Bug,没有任何表现模块
关于Win32.Foroux
1、完全兼容于Win9X/2K/NT/XP等操作系统的Win32 PE病毒
2、没有任何表现模块,没有任何优化;
3、未释放Bug---是因为从有这个想法到完成编码及测试仅用了不超过3周时间就匆匆完成
作者虽然把Klez说成是个良性病毒,可以免疫其他病毒.但事实上它会删除你的文件,并且它所谓的免疫只是把带有Nimda,Sircam,CodeRed等字符串的进程杀死,这种方法根本无法阻止其它病毒的传染(就连这3种都不彻底)。
病毒的清除
此病毒会删除杀毒软件的主程序,以至于用户无法升级杀毒软件,所以采用"瑞星杀毒软件2002增强版"是比较有效的方法
,瑞星专杀版本文件名不固定,也可保证不含有敏感字符串,即使包含病毒识别的字符串,由于瑞星专杀版本的运行速度很快,在病毒发现它以前,病毒已被它杀掉,所以不怕此类病毒。
另一种方法是开启瑞星邮件监控系统和瑞星内存实时监控系统进行实时拦截,任何企图调用它们对主程序进行操作的代码都会被拦截,提示用户是否确认,这样就杜绝主程序被删或被停,这时就如同查杀普通病毒一样了。
《瑞星杀毒软件2002增强版》在国际上首次实现未知邮件病毒的拦截功能,邮件监控系统和内存监控系统可以有效地阻止"求职信"此类病毒的感染和传播,邮件泄密拦截系统可以实时阻断乱发邮件现象。
点一支歌送朋友,带给他(她)春天的信息和你的心意!
15秒快速订短信 精彩资讯尽在“掌”握
|