荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: reget (NOTHING TO LOSE), 信区: Virus
标  题: Klez新变种病毒W32.Klez.H@mm的技术特征
发信站: 荔园晨风BBS站 (Fri Apr 19 11:18:15 2002), 转信

发现日期:2002-04-17
病毒类型:蠕虫
危害程度:中
传播速度:快
发作范围:广

病毒特征:可借助电子邮件及共享网络传播,同时会感染文件。病毒运行后,
会在机器上生成\%System%\Wink<随机字符>.exe文件,并将键值Wink<随机字符>
%System%\Wink<随机字符>.exe添加至如下注册表中;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
或者创建注册表键:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[随机字符]
,并在子键中插入键值,使得Windows启动时,病毒会自动运行。

另外,此蠕虫还会通过停止一些激活的进程来破坏病毒扫描器以及阻止以前出
现的蠕虫(如尼姆达及红色代码)的运行。又会删除反病毒软件的启动键值及检测
数据文件,如:
Anti-Vir.dat
Chklist.dat
Chklist.ms
Chklist.cps
Chklist.tav
Ivb.ntz
Smartchk.ms
Smartchk.cps
Avgqt.dat
Aguard.dat

病毒还会将自身拷贝至本地、映射网络驱动器中,文件名可能为:
1.双扩展名的随机文件。如Filename.txt.exe
2.双扩展名的.rar 文件包,如Filename.txt.rar

关于病毒邮件,它会搜索Windows地址簿、ICQ数据库及本地文件中的所有邮件
地址,之后向这些邮件地址发送带毒邮件。它有自己的SMTP引擎。病毒邮件的主题
、正文及附件名都是随机的,其中邮件来源(From:项)是从被感染机器上所找到
的邮件地址中随机选取的。
它从如下后缀名的文件中搜索邮件地址:
mp8
.exe
.scr
.pif
.bat
.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf

邮件主题为如下列表之一:
Undeliverable mail--"[Random word]"
Returned mail--"[Random word]"
a [随机文字] [随机文字] game
a [随机文字] [随机文字] tool
a [随机文字] [随机文字] website
a [随机文字] [随机文字] patch
[随机文字] removal tools
how are you
let‘s be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls‘ vocal concert
japanese lass‘ sexy pictures

上述的随机文字可能为如下之一:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky

邮件正文是随机的。若在未打补丁的Outlook或Outlook Express中打开病毒邮
件,病毒会自动运行,请尽快到如下地址下载并安装相应补丁:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

另外,通过创建原病毒文件的一隐藏性病毒副本来感染可执行文件,并用自身
覆盖掉被感染的原文件。其中隐藏的病毒副本经过加密,其文件名等同于原病毒文
件,但扩展名任意。此蠕虫还会将病毒W32.Elkern.4926加入到\%Program Files%
文件夹中,以随机文件名存在,然后会运行该病毒。

--

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 210.22.24.113]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店