● 新的网络蠕虫I-Worm/Klez.e.201的清除 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: popstar (孤狼), 信区: Virus
标  题: 新的网络蠕虫I-Worm/Klez.e.201的清除
发信站: 荔园晨风BBS站 (Fri Apr 19 11:28:27 2002), 转信

新的网络蠕虫I-Worm/Klez.e.201的清除

    北京江民新科技术有限公司的快速病毒反应小组最新捕获并成功解除病毒“求
职信”的变种病毒:I-Worm/Klez.e.201。该病毒具有传播非常迅速、破坏大的特点
，江民公司反病毒小组立即将该情况通报公安主管机关并提醒广大的KV3000用户及
时升级最新的查杀病毒数据库，防范该病毒的破坏。

    该病毒的特点是：能够通过电子邮件、文件传染和网络共享的方式来传播。可
以说该病毒集合了目前流行的大多数病毒的传播、传染方式：既有传统的文件感染
方式，也有时髦的电子邮件、网络共享等的传播方式。这也可能是将来新病毒的发
展方向。当通过电子邮件来传播时，主要影响的是使用OUTLOOK express的用户（
当然是没有打补丁的IE），该病毒利用的是预览就能发作的特点来传播的。

    要阻止该网络蠕虫利用电子邮件传播，用户必须安装相应的补丁程序：

    http://www.microsoft.com/technet/security/bulletin/MS01-020.asp是相
应的补丁下载地址。

    病毒特性：

    通过Email电子邮件来传播的信件的特点是：

    邮件的主题：随机的。邮件的附件文件名称也是随机的。当网络蠕虫的附件被
执行后，该网络蠕虫将自身拷贝到Windows的System目录下，以部分随机的文件名
称保存：随机的文件名称前4个字母是Wink，后面的是随机的字符，文件的扩展名
称是exe,当您发现自己的SYSTEM目录下有这些类似的文件后，您必须使用最新版本
的KV3000来检查您机器上的病毒了。该网络蠕虫程序会自动搜索WINDOWS的地址薄
、ICQ的数据库文件等来搜索能传播的Email邮件地址，并将自身附着在发送信件的
附件中。为了找到尽可能多的发送蠕虫的Email地址，该病毒会自动在以下的文件
中搜索邮件地址：.exe.scr.pif.bat.txt.htm.html.wab.asp.doc.rtf.xls.jpg.
cpp.pas.mpg.mpeg.bak.mp3.pdf等，基本覆盖了所有能保存Email地址的文件！

    邮件的信息有：

    how are you (您好)

    let's be friends (让我们做朋友)

    darling (亲爱的)

    so cool a flash,enjoy it (很酷的Flash动画)

    your password (你的密码)

    honey (甜心)

    some questions (一些问题)

    please try again (请重试)

    welcome to my hometown (欢迎来到我们家乡)

    the Garden of Eden (伊甸园)

    introduction on ADSL (ADSL简介)

    meeting notice (会议通知)

    questionnaire (疑问)

    congratulations (祝贺)

    sos! (求救)

    japanese girl VS playboy (日本女孩和花花公子)

    look,my beautiful girl friend (看看，我漂亮的女友)

    eager to see you (非常想见你)

    spice girls' vocal concert (辣妹演唱会)

    japanese lass' sexy pictures (性感图片)

    另外还有些以game(游戏)、tool(工具)、website(网站)、patch(补丁)、
removal tools (清除工具)加随机字、词组成的。这些随机的词是从以下的软件中
选出的：new(新的)、funny(有趣的)、nice(很好)、humour(幽默)、excite(激动
)、good(好的)、powful(有力的)WinXP、IE 6.0、W32.Elkern、W32.Klez.E、
Symantec、Mcafee、F-Secure、Sophos、Trendmicro、Kaspersky

    该网络蠕虫还能感染可执行文件：将要感染的原始的文件隐含起来，将网络蠕
虫变化成该原始文件保存。被隐含的文件被加密存放，但是没有病毒代码。被隐含
的文件的文件名称和被感染前是一样的，只是多了一个随机的扩展名称。

    该网络蠕虫还会在系统的程序目录Program Files 释放一个病毒，当然文件名
称是随机的。并且该文件是可以自动运行的。

    需要注意的是：一旦该网络蠕虫被运行的话，大多数的反病毒软件会被自动终
止。

    该网络蠕虫加密存放，被解密后在病毒体能发现一段对该病毒和网络蠕虫的描
述，其中有文字是:Win32 Klez V2.01 & Win32 Foroux V1.0 Copyright 2002,
made in Asia .

    (1)在WINDOWS 95/98/ME系统下的清除：

    先运行在WINDOWS 95/98/ME系统下的安全模式下，使用注册表编辑工具
regedit将网络蠕虫增加的键值删除：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run

    和HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

    要删除的注册表项目是wink???.exe的键值。

    同时还必须相应的将WINDOWS的SYSTEM目录下的该随机文件Wink???.exe删除,
注意还必须将回收站清空。删除了相应的病毒文件后，可以重新启动计算机，然后
，在KVW3000的安装目录下执行KVD3000.EXE来清除该病毒。注意一些全部是网络蠕
虫的程序或者文件是需要按照提示完全删除的。

    (2)在Windows 2000/XP系统下的清除:

    清除方法基本和Windows 95/98/ME系统下的清除方法相同：先以安全模式启动
计算机，运行注册表编辑工具，同样删除该网络蠕虫增加的键值：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services,要删除病毒增加的表
项是：

    wink开头的随机的表项。当然你必须记住该项目的具体名称(虽然是随机的),
然后在系统目录下将该文件删除。注意该文件是隐含的，您必须打开显示所有文件
的选择项目才能查看该病毒文件。同样的注册表项还有
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run从以上的
分析来看：该网络蠕虫的传播感染使用了多种手段、方法，几乎覆盖了所有的目前
流行的传播方式，建议用户及时升级自己的KV3000查杀病毒软件来查杀该病毒。

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.36.57]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店