#22002/7/30 18:09:35
病毒名称:
Worm.WantJob.81936
Win32.Foroux.A(插入体)
(
AVP命名:
I-Worm.Klez.H;
Win32.Klez
Symantec命名:
W32.Klez.H@mm;
W32.Elkern.4926
)
Worm.WantJob.81936是蠕虫病毒Worm.WantJob.73744(AVP命名:I-Worm.Klez.E)的修改变体。通过进入计算机该病毒利用IE安全系统的弱点(the IFRAME vulnerability)进行攻击。这个变种能通过Email和网络共享传播,并且可以感染文件。
Win32.Foroux.A为Worm.WantJob.81936释放出的插入体。
类型: 蠕虫
威胁评估:
范围程度:高
危害水平:高(病毒感染可执行文件时先创建一个待感染文件的副本,并将文件副本加密,但该副本中不含病毒代码,文件副本与原文件名一样,但是扩展名是随机的。然后病毒将待染毒文件用病毒覆盖。)
传播速度:高
具体分析
一、当病毒运行后:
1.会将自身拷贝到\%System%\目录下取名为Wink<随机字符>.exe。(注:\%System%\是可变的,该病毒会自动查找Windows系统目录缺省情况下是 C:\Windows\System or C:\Winnt\System32) 并将自身拷贝到那里。
2.病毒先在注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加:Wink<随机字符> %System%\Wink<随机字符>.exe或者创建: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[随机字符]
然后在相应子键添加一个键值,这样使用者启动系统时病毒就会运行。
该蠕虫病毒试图通过中止一些进程来终止在线运行的反病毒软件和一些以前已经分布的蠕虫的运行。该病毒会删在在开机自运行项目中的反病毒软件和校验和数据文件包括:
Anti-Vir.dat
Chklist.dat
Chklist.ms
Chklist.cps
Chklist.tav
Ivb.ntz
Smartchk.ms
Smartchk.cps
Avgqt.dat
Aguard.dat
二、本地、映射和网络驱动器复制
病毒还会将自身拷贝至本地、映射和网络驱动器中,并将自己命名为:
双扩展名的随机文件,例如Filename.txt.exe
双扩展名的.rar文件,例如Filename.txt.rar
三、电子邮件传播
该病毒会搜索Windows地址簿、ICQ数据库及本地文件中的所有邮件地址,然后将自己作为邮件的附件发送到这些邮件地址。病毒用自含的SMTP引擎去搜索可用的SMTP服务器。
带毒邮件的主题、邮件正文、附件名称都是随机的,邮件源地址(From:地址)从被感染机器上所找到的邮件地址中随机选取。病毒从下列后缀名的文件中搜索邮件地址:
.mp8
.exe
.scr
.pif
.bat
.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf
上述发出的带毒邮件主题由“随机”字符串组成,可能为:
Undeliverable mail--"[随机字符]"
Returned mail--"[随机字符]"
a [随机字符] [随机字符] game
a [随机字符] [随机字符] tool
a [随机字符] [随机字符] website
a [随机字符] [随机字符] patch
[随机字符] removal tools
how are you
let‘s be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls‘ vocal concert
japanese lass‘ sexy pictures
*其中[随机字符]可能是下列之一:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky
邮件正文的内容是随机的。
如果在未打升级补丁的Outlook或Outlook Express中打开病毒邮件,邮件附件会自动运行。解决该缺陷的Outlook升级补丁可在如下地址下载:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
四、病毒插入
该病毒会将Win32.Foroux.A病毒随机命名为\%Program Files%\目录下的一个文件然后运行它。(注:\%Program Files%\是可变的,该病毒会自动查找Windows系统目录缺省情况下是C:\Program Files)
五、防范措施:
关掉并且移除不需要的服务。
把补丁升级到最新,如IIS和IE。
快速孤立感染的计算机阻止进一步扩散。
六、手工清除办法:
(1)在WINDOWS 95/98/ME系统下清除该病毒的方法:
重新启动计算机并进入WINDOWS 95/98/ME系统下的安全模式下,使用注册表编辑工具regedit将蠕虫病毒增加的键值删除:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run和HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
要删除的注册表项目是wink???.exe的键值。
同时还必须相应的将WINDOWS的SYSTEM目录下的该随机文件Wink???.exe删除,注意还必须将回收站清空。删除了相应的病毒文件后,可以重新启动计算机。
(2)在Windows 2000/XP系统下清除该病毒的方法:
清除方法基本和Windows 95/98/ME系统下的清除方法相同:先以安全模式启动计算机,运行注册表编辑工具,同样删除该网络蠕虫增加的键值:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services,要删除病毒增加的表项是:wink开头的随机的表项。当然你必须记住该项目的具体名称(虽然是随机的),然后在系统目录下将该文件删除。注意该文件是隐含的,您必须打开显示所有文件的选择项目才能查看该病毒文件。同样的注册表项还有HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run。
当然,最有效的清除办法是使用升级到最新病毒库,或是最新版的“求职信专杀工具”。
编辑历史:[这消息被大雪无痕编辑过(编辑时间2002-07-30 18:36:05)]
