|
 | 作者: yangze [yangze]
 版主 |
登录 |
| 求职信变种家族完全档案 [02-4-23 15:58] 作者:金山毒霸/金山反病毒资讯网 ����除去去年8月的求职信病毒外,至今为止求职信的变种已有6个之多,分别为(括号中为AVP命名规则) ������������Worm.WantJob.61440����������������(I-Worm.Klez.A) ������������Worm.WantJob.57345����������������(I-Worm.Klez.B) ������������Worm.WantJob.57344����������������(I-Worm.Klez.C) ������������Worm.WantJob.65536����������������(I-Worm.Klez.D) ������������Worm.WantJob.73744����������������(I-Worm.Klez.E) ������������Worm.WantJob.81936����������������(I-Worm.Klez.H) ���� ����插入体有两种: ������������Win32.WantJob.3326����������������(Win32.Klez) ������������Win32.Foroux.A��������������������(Win32.Elkern.C) ���� ����整个“求职信家族”都是经由因特网传播感染电子邮件系统的蠕虫病毒。蠕虫自己是一个 大约57-80KB(取决于它的版本)的Windows PE.EXE文件,他用Microsoft Visual C++写成 。 ���� ����插入体为求职信释放出来的一个感染PE文件的病毒,病毒体长度为3~4K,为汇编语言编写。 ���� ����感染的邮件有变化的主题和附件名称 。该病毒利用了IE安全系统中的弱点(the IFRAME vulnerability),试图在你打开甚至是预览消息时自动执行。 ����除了在本地的局域网络和通过电子邮件传传播,蠕虫还可以以“K”开头的一个随机的名字创建一个Windows可执行文件(如:KB180.exe)。病毒在所有可用的计算机磁盘上感染 大多数Win32 PE EXE文件。 ���� ����启动 ����当一个被感染的文件启动时,蠕虫拷贝自己到Windows系统文件夹并命名为krn132.exe。然后写入下面的注册表项目: ����HKLM\Software\Microsoft\Windows\CurrentVersion\Run Krn132 = %System%\Krn132.exe����(%System%是Windows系统文件夹名) ����然后病毒查找活跃/正在运行的应用程序(反病毒程序,见下面列表)并用 Windows“TerminateProcess”命令强行将它们卸除掉: ����_AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS�� ���� ����e-Mail复制: ����该蠕虫使用SMTP发送e-mail消息。它从一个WAB数据库找到e-mail地址并发送已感染的邮件到这些地址。 ���� ����已感染的邮件的主题从下面列表中随机选择: �������� Hello �������� How are you? �������� Can you help me? �������� We want peace �������� Where will you go? �������� Congratulations!!! �������� Don‘t cry Look at the pretty �������� Some advice on your shortcoming �������� Free XXX Pictures �������� A free hot porn site �������� Why don‘t you reply to me? �������� How about have dinner with me together? �������� Never kiss a stranger �������� ����邮件的正文如下: �������� I‘m sorry to do so,but it‘s helpless to say sory. �������� I want a good job,I must support my parents. �������� Now you have seen my technical capabilities. �������� How much my year-salary now? NO more than $5,500. �������� What do you think of this fact? �������� Don‘t call my names,I have no hostility. �������� Can you help me? ���� ����附件: ����有随机名字Win32 PE EXE文件, 它有 .exe扩展名或双扩展: name.ext.exe���� ����蠕虫利用原始的程序来选择文件名(name.ext)。它扫描所有可用的驱动器并找到有下列扩展名的文件:.txt��.htm��.doc��.jpg��.bmp��.xls��.cpp��.html .mpg��.mpeg �������� ����它用发现的文件名之一(name.ext) 作为附件的基名,然后它增加第2个扩展名:“.exe”。例如:“Ylhq.htm.exe”,“If.xls.exe”, 等等。 蠕虫插入它自身的“From:”域进被感染的邮件中。依据随机数,它插入一个真实的e-mail地址到那里,或一个伪装的随机产生的地址。 ���� ����蠕虫的一个有趣的特征是在发送被感染的消息前, 蠕虫把他发现的e-mail地址列表写到它自己的EXE文件中。 ������ ����蠕虫体的所有的字符串(邮件和地址)都加密存储。 ���� ����本地和网络驱动器复制: ����蠕虫用写访问枚举所有的本地的驱动器和网络资源并用随机的名称name.ext.exe做它的拷贝到那里 (名字产生例程类似于产生附件的方式)。在拷贝自己到网络资源以后,蠕虫作为系统服务应用程序在远程的计算机上注册它的拷贝。 ���� ����发作特点: ����在13个月里, 蠕虫执行有效负载程序,它用随机的内容填满了可用的被感染的计算机磁盘上所有的文件。这些文件不能被修复,必须用一个备份来恢复。 ���� ����各个版本的区别: ����蠕虫有若干修正版本。I-Worm.Klez.a-d很类似,只有较小的差别。Klez.e-h 也很类似,并且也只有较小的差别。 |
| 地主 发表时间: 05/22 11:16 |
 | 回复: jeikspil [jiekspil]  论坛用户 |
登录 |
|
哦,还是满全的。 |
| B1层 发表时间: 05/27 18:17 |
 | 回复: kuangren [kuangren]  论坛用户 |
登录 |
|
有什么解决办法吗? |
| B2层 发表时间: 05/28 15:03 |
 | 回复: niaolxx [niaolxx]  论坛用户 |
登录 |
|
对啊,楼上的仁兄即然写了这么多,好人应该做到底,也应该给一个较好的解决方案吧!谢了! |
| B3层 发表时间: 06/05 17:41 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 求职信变种家族完全档案