论坛: 病毒专区 标题: 这是什么病毒? 复制本贴地址    
作者: tabris17 [tabris17]    论坛用户   登录
以下是我收集的病毒特征:
通过邮件传播
主题是Have a new Epiphany
利用OE的mime头漏洞和iframe漏洞
如下:
<HTML><HEAD></HEAD><BODY>
<iframe src=3Dcid:DrV3I71n0a8rnNG4 height=3D0 width=3D0>
</iframe>
<FONT></FONT></BODY></HTML>

--I509ZJY5JCpg45c8Pet2Q3AsOy2C22
Content-Type: audio/x-wav;
    name=article[1].bat

会自动发送中毒主机的文件作为附件

解码后的病毒附件大小为89,046 字节
病毒行为方式类似“求职信” 

地主 发表时间: 01/04 17:34
回复: CyberSpy [cyberspy]   论坛用户   登录
莫非是它??

名称: W32/Klez.I 
别名: 
病毒类型: 蠕虫病毒 
是否可修复: 是 
首次发现日期: 
是否属于在野病毒:不是 

基本描述 : W32/Klez.I是由Visual C++编写的一个通过邮件传播的蠕虫病毒,它会将自己发送给Windows通讯簿(WAB)中的所有联系人。这些被发送出的信息中包含可变的特性。 


该蠕虫被编写为能够以类似删除文件的方式终止受感染计算机上的某些程序,而这些程序主要是防病毒产品。 


该蠕虫病毒利用了已被其他蠕虫使用的一个IE的漏洞,这个漏洞使得用户在打开这封邮件或仅仅是从Outlook的预览窗口中查看该封邮件时就会运行其带毒的附件。 


如果您需要具体的相关信息及补丁请访问微软公司的网页:  http://www.microsoft.com/technet/security/bulletin/MS01-020.ASP 


传播的方法 该蠕虫病毒通过电子邮件进行传播,确切的说,W32/Klez.I会将自己发送给Windows通讯簿(WAB)中的所有联系人。这些被发送出的信息中包含可变的特性。下面列出的是W32/Klez.I可能使用的一些信息特征: 

主题: A powful tool 
信息主体: 

This is a special powful tool 
I expect you would enjoy it 

主题: Worm Klez.E immunity 
信息主体: 

Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files. 
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it. 
We developed this free immunity tool to defeat the malicious virus. 
You only need to run this tool once,and then Klez will never come into your PC. 
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it. 
If so,Ignore the warning,and select 'continue'. 
If you have any question,please mail to me 



主题: A funny website 
信息主体: 
This is a funny website 
I hope you would like it 

其他可能的主题: 

!supportEmptyParas 
how are you 
Sito utilizza frames!! 
Introduction on ADSL 
look,my beautiful girl friend 
Reset Display 
205 MB of free hard disk space, but may 
let's be friends 
darling 
so cool a flash,enjoy it 
your password 
honey 
some questions 
please try again 
welcome to my hometown 
the Garden of Eden 
meeting notice 
questionnaire 
congratulations 
sos! 
japanese girl VS playboy 
eager to see you 
spice girls' vocal concert 
japanese lass' sexy pictures 

然而,信息主题也可能以下面的格式出现: 

Re: Fw: Undeliverable mail--"%s" 
Returned mail--"%s" 
a %s %s game 
a %s %s tool 
a %s %s website 
a %s %s patch 
%s removal tools 


在这里%s从下面的列表中随机选择的一个单词: 

new 
funny 
nice 
humour 
excite 
good 
powful 
WinXP 
IE 6.0 
W32.Elkern 
W32.Klez.E 
Symantec 
Mcafee 
F-Secure 
Sophos 
Trendmicro 
Kaspersky 

在其他情况下,主题也可能是以下的内容: 

I %s you would %s it. 

在这里%s从下面的列表中随机选择的一个单词: 
enjoy 
like 
wish 
hope 
expect 

The following mail can't be sent to %s: 
The attachment The file is the original mail give you the %s 
is a %s dangerous virus that %s can infect on Win98/Me/2000/XP. 
spread through email. 
very special  http:// www. .com 
For more information,please visit 
This is 
Christmas 
New year 
Saint Valentine's Day 
Allhallowmas 
April Fools'Day 
Lady Day 
Assumption 
Candlemas 
All Souls'Day 
Epiphany 
Happy 
Have a 


最后,该邮件中包含了两个附件文件。第一个含有PIF,BAT,EXE或SCR的扩展名。然而第二个含有以下的扩展名之一: .txt,.htm,.html,.wab,.asp,.doc,.rtf,.xls,.jpg,.cpp,.c,.pas,.mpg,.mpeg,.bak,.mp3,.mp8和.pdf。 


传染的方法 当带毒的附件被运行后,将会拷贝它本身到Windows\System目录下文件名为Wink*.exe 

W32/Klez.I还会在Program Files文件夹中生成另一个文件,这个文件的大小为10,240字节,文件名是随机的(由三个字母和四个数字组成)还有一个EXE的扩展名。这个文件如W32/Elkern.C,4,500字节大PE加密的病毒。该病毒使用“cavity”方法进行传染,它拷贝自己的代码到目标文件代码中的空白处。因此,受感染的文件大小将不会增加。W32/Elkern.C将传染驱动器A-Z上的文件。 



该蠕虫病毒还会在�却嬷醒罢蚁铝械某绦虿⑶医崾�它们的进程: 

_AVP32, _AVPCC, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, NAV, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVWNT, ANTIVIR, AVPUPD, AVGCTRL, AVWIN95, SCAN32, VSHWIN32, F-STOPW, F-PROT95, ACKWIN32, VETTRAY, VET95, SWEEP95, PCCWIN98, IOMON98, AVPTC, AVE32, AVCONSOL, FP-WIN, DVP95, F-AGNT95, CLAW95, NVC95, SCAN, VIRUS, LOCKDOWN2000, Norton, Mcafee, Antivir, TASKMGR. 


它还能够删除Windows注册表中防病毒产品的项目和文件: 

ANTI-VIR.DAT, CHKLIST.DAT, CHKLIST.MS, CHKLIST.CPS, CHKLIST.TAV, IVB.NTZ, SMARTCHK.MS, SMARTCHK.CPS, AVGQT.DAT, AGUARD.DAT 

解决方案 

我的计算机会被传染吗? 

如果您收到的一个电子邮件信息包含上述的那些特性,您就可以知道 W32/Klez.I已经传播到您的计算机上了。在这种情况下,不要打开该邮件或运行其附件。如果您做了这些操作,那么病毒会试着向外发送它本身。禁用MS-Outlook邮件客户端的预览窗口以阻止该病毒的运行。我们建议您将这些带毒邮件完全清除。 


另外,检查是否出现下列被感染的症状: 


出现下列文件: 


C:\windows\system\WINKxx.EXE 
该文件在Program Files文件夹中,名称是随机的(由三个字母和四个数字组成)还有一个EXE的扩展名。 

出现下列的Windows注册表项: 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WINKxx = %system%/WINKxx.EXE(这里WINKxx和WINKxx.EXE是该蠕虫病毒创建的文件) 
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\ 眨眼*(在Windows 2000和Windows XP系统上) 
这些元件的存在你的计算机中将会指示它被传染。 




B1层 发表时间: 01/04 22:53

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号