荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (.。o οоO ○ ), 信区: Virus
标 题: I-Worm.Klez.E
发信站: 荔园晨风BBS站 (Thu Mar 7 08:59:04 2002), 转信
病毒名称:I-Worm.Klez.E
别名: W32.Klez.E@mm, I-Worm/Klez.E, Klez, Klez.e, W32/Klez.F,
W32/Klez.e@MM, WORM_KLEZ.E, Worm.wantjob.73744, Win32.HLLM.Klez.1,
Worm/Klez.E
危险等级:中;
传播速度:快;
传播范围:低
发现时间:2002/01/17;
长度: 大约80kb;
发作时间:每月的6号
感染症状:中止一些常见反病毒软件的运行,并向病毒找到的一些电子邮件地
址发送带毒的电子邮件;病毒占用大量的系统资源,使得计算机变慢,经常出现“
没有足够内存运行*****.***程序……”的错误提示
发作症状:将一些文件大小置零(相当于删除文件且不可恢复)或者用病毒码
覆盖文件,而这些被破坏的文件都是不可恢复的
病毒类型:网络蠕虫
操作平台:Windows 32位操作平台(除了WinNT)
感染对象:无;
传播途径:电子邮件、局域网
病毒介绍:
I-Worm.Klez.E蠕虫病毒是I-Worm.Klez.A蠕虫病毒的一个变种,都是通过电子
邮件和局域网进行传播,带毒的电子邮件通常是随机的标题、内容和附件,而通过
局域网传播带毒文件一般都是双重后缀名。
该病毒利用了MS Outlook和Outlook Express的漏洞,当用户打开或预览带毒
的电子邮件时,病毒就会自动运行。有关的补丁下载地址如下:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
病毒被运行后会在本地计算机上生成带毒文件(大约80kb)和一个名为W32.
Elkern.3587的病毒,同时会中止一些常见的反病毒软件的运行,并删除这些反病
毒软件的病毒数据库,而且在每月6日会将文件大小置零(相当于删除文件且不可
恢复)或者用病毒码覆盖文件!
一般带毒的邮件标题是随机的,可能是以下列出的标题或者更多,甚至可能是
空标题:
A WinXP patch
ALIGN
Document End
Eager to see you
From
Fw:
HEIGHT
Happy Lady Day
Happy good Lady Day
Happy nice Lady Day
Have a good Lady Day
Have a humour Lady Day
Hello,
Hi,
Hi,spice girls‘ vocal concert
Re:
Return
Returned mail--"Document End "
Undeliverable mail--"..."
Undeliverable mail--"IIS services with this Web administration
tool."
邮件内容也是随机的,可能是下列内容,也有可能是空的:
Congratulations
Darling
Don‘t drink too much
Eager to see you
Honey
Introduction on ADSL
Japanese girl VS playboy
Japanese lass‘ sexy pictures
Let‘s be friends
Look,my beautiful girl friend
Meeting notice
Please try again
Some questions
Sos!
The Garden of Eden
how are you
questionnaire
spice girls‘ vocal concert
welcome to my hometown
your password
附件的名称也是随机的,而且是双重后缀名,最后的后缀名一般是.EXE、.
PIF、.COM、.BAT、.SCR 和 .RAR。
如果Outlook或者IE没有打相应的补丁,不慎打开或者预览带毒的邮件的话,
病毒就会被自动激活。而病毒会很巧妙的把带毒的附件注册为audio/x-wav 或者
audio/x-midi(都是多媒体类型),所以,即使附件是一些.exe后缀名的文件,
Windows也会用一些多媒体播放软件来打开附件,往往会出现一段“没有足够内存
运行*****.***程序……”的错误提示,但病毒此时已经被激活了:
当病毒激活后,会生成%System%\Wink***.exe(注:%System%指的是系统目录
,一般是\Windows\System或者\Winnt\System32;***代表随机的字符,如病毒可
能生成的是WINKIDT.EXE 或者 WINKKR.EXE等)。同时病毒修改注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 或
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Wink***=wink***.exe
这样每次启动计算机的时候病毒都会被激活。同时,该病毒在%System%目录下
生成一个名为W32.Elkern.3587的木马程序%System%\wqk.exe(Windows 9x/ME)或
者%System%\wqk.dll(Windows 2000/XP)。病毒还会在注册表生成有关的注册表
项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink***(***代
表随机的字符,和上面所说的病毒生成的文件名相对应)
接着病毒就会试图中止以下反病毒程序的运行:
ACKWIN32 、ALERTSVC 、AMON 、ANTIVIR 、AVCONSOL、AVE32 、AVGCTRL 、
AVP32 、AVPCC 、AVPM 、AVPTC 、AVPUPD 、AVWIN95 、Antivir 、CLAW95 、
DVP95 、F-AGNT95 、F-PROT95 、F-STOPW 、FP-WIN 、IOMON98 、
LOCKDOWN2000 、Mcafee 、N32SCANW 、NAV 、NAVAPSVC 、NAVAPW32 、NAVLU32
、NAVRUNR 、NAVW32 、NAVWNT 、NOD32 、NPSSVC 、NRESQ32 、NSCHED32 、
NSCHEDNT 、NSPLUGIN、NVC95 、Norton 、PCCWIN98 、SCAN 、SCAN32 、SWEEP95
、TASKMGR2、VET95 、VETTRAY 、VIRUS 、VSHWIN32 、_AVP32 、_AVPCC 、
_AVPM
同时删除这些反病毒软件在注册表中的启动项和病毒数据库文件:
AGUARD.DAT 、ANTI-VIR.DAT、AVGQT.DAT 、CHKLIST.DAT 、CHKLIST.MS、
IVB.NTZ 、SMARTCHK.CPS 、SMARTCHK.MS
接着病毒会将自身复制到本地硬盘、映射盘和局域网的共享硬盘(完全共享)
上,复制的文件名都是双重后缀的文件名,第一个后缀名一般是以下这些:
BAK 、BAT 、C 、CPP 、DOC 、EXE 、HTM 、HTML 、MP3 、MP8 、MPEG 、
MPQ 、PAS 、PIF 、SCR 、TXT 、WAB 、XLS
第二个后缀名一般是以下这些:
BAT 、COM 、EXE 、PIF 、RAR 、SCR
例如:带毒的文件名可能是filename.txt.exe或者filename.SCR.RAR等。
此外,病毒会在Windows地址簿、ICQ数据库和以下一些文件中搜索邮件地址:
BAK 、BAT 、C 、CPP 、DOC 、EXE 、HTM 、HTML 、MP3 、MP8 、MPEG 、
MPQ 、PAS 、PIF 、SCR 、TXT 、WAB 、XLS
并向这些邮件地址发送带毒的电子邮件,发送的带毒附件的文件名格式如上,
而发送这些电子邮件病毒一般是使用它自己本身的SMTP引擎,也可能会用到染毒计
算机上可利用的SMTP服务器。一般带毒的电子邮件发件人地址被设为如下地址,不
过也有可能是其他的一些地址:
ACAMDR@terra.es 、CR7269CH@terra.es 、MANUEL23@terra.es 、
RUBENSOTOAGUI@terra.es 、andy@verizon.net 、anti@helix.com.hk 、
atoz@2911.net 、bet@helix.com.hk 、carlos_nuevo@terra.es 、
certpass@21cn.com 、cheu@2911.net 、cristian_soto@terra.es 、es
ROSANAMOLTO@terra.es 、flywind@wfc.com.tw 、gigi@helix.com.hk 、
girl@edirect168.com 、graph@helix.com.hk 、karala@hongkong.com 、
lily@88win.com 、linda@verizon.net 、little@hitel.net 、
littlecat@hongkong.com、ol-petech@terra. 、panshugang@chinese.com 、
pet@2911.net 、pipti@21cn.com 、powerhero@263.net 、pw246@columbia.edu
、queen@helix.com.hk 、rainrainman@hongkong.com 、raise@wfc.com.tw 、
sammychen@wfc.com.tw 、sani@2911.net 、santurn@verizon.net 、
street@verizon.net、suck@wfc.com.tw 、sun@verizon.net 、tutu@88win.com
、urlove@wfc.com.tw、xyz@2911.net 、yaya@wfc.com.tw
病毒会修改一些可执行文件,当病毒感染可执行文件时,首先会创建一个该文
件的副本(不带病毒),并将该副本改为隐藏属性(也就是隐藏了原来正常的文件
),且副本的后缀名也被改成是随机的;创建好副本之后,病毒就会用病毒码覆盖
原来正常的文件,当用户试图运行程序的时候,病毒就会被激活,同时病毒会临时
创建一个文件名和原来程序相对应并带有~1的程序,并运行,使得用户不会发觉程
序已经被病毒修改了,当程序运行结束后,病毒会将临时生成的文件删除。例如,
有个file.exe的执行文件,当被病毒修改后,就可能会有file.exe和file.fxp两个
文件,file.exe就是病毒程序,file.fxp就是原来正常的程序,且被隐藏了。当运
行file.exe的时候,病毒就会被激活,同时生成一个file~1.exe程序,程序运行结
束后,病毒就会将file~1.exe删除。
当系统的日期是6日时,病毒就会发作!如,系统的日期如果是1月6日或者7月
6日,病毒就会将所有文件大小置零(相当于删除文件且不可恢复)或者用病毒码
覆盖文件!如果其他月份的6日,病毒就会将以下后缀名结尾文件大小置零或者用
病毒码覆盖文件:
bak、c、cpp、doc、htm、html、jpg、mp3 、mpeg 、mpg 、pas 、txt 、wab
、xls
该病毒代码中还带有以下一段声明:
Win32 Klez V2.0 & Win32 Elkern V1.1, (There nickname is Twin Virus
*^__^*
Copyright, made in Asia, announcement:
1. I will try my best to protect the user from vicious virus,
Funlove,Sircam,Nimda,Codered, and even include W32.Klez.1.X
2. Well paid jobs are wanted.
3. Poor life should be unblessed.
4. Don‘t accuse me, please accusse the unfair shit world.
预防方法:
1、从以下网址相应的补丁或者将IE和Outlook升级到6.0版本以上:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
2、将反病毒软件升级到最新的版本。
紧急清除方法:
1、临时修改系统日期;
2、重新启动计算机进入安全模式,直接运行clrav.com进行自动查杀病毒。
附注:
1、被病毒破坏的文件已经不可恢复的了;
2、clrav.com下载地址如下:
http://cnav.myrice.com/avsoft/clrav.zip
--
♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀
♀♂♀♂寻寻觅觅♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂
♂♀♂♀♂♀♂♀♂♀♂♀蓦然回首♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀
♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂那人却在♀♂♀♂♀♂♀♂♀♂♀♂
♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂灯火阑珊处♂♀♂♀
♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂♀♂
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店