一个通过INTERNET以及EM来自AIL附件传播感染的蠕虫类病毒,本身是一个WINDOWS PE格式的可执行程序,大约九尼话序在57-65360百科K之间,是用能色还却裂听小MICROSOFT VISUAL十爱永断好保起胡我C++编写,它不仅在本地的网络散布并且通过电子邮件消息急杀径理春尔传播,还会在WINDOWS临时文件夹下建立一个名字为以字母K开头的可执行文件,把" Win32.Klez "病毒写进去,并且启动该病毒。
- 中文名称 Worm.Klez
- 属性 程序
- 类别 蠕虫类病毒
- 大小 约在57~65k
- 编写 MICROSOFT VISUALC++
病毒简介
这是一个通过INTERNET以及EMAIL附件传播感染的蠕虫类病毒。它本身是一个WINDOWS PE格式的可执行程序,大约在5余针利检知王铁每城7-65K之间(依他的版本而定),是用MICRO来自SOFT VISUALC++编写。被感染消息的题目与附件的名字是可变的,它利用了一个IE已知的安全漏洞(IFRAME vulnerability),当一个已经被感染的消息打开时,他将自动启动。它不仅在本地的网络360百科散布并且通过电子邮件消息传播。它会在WINDOWS临时文件夹下建立一个可执行文件,名字为以字母K开头的随板探意一个的名字( 如KB180.exe )然后把" Win32.Klez "病毒写进去,并且启动该病毒。这个病毒在群地群走批回认所有可利用的计算机的磁盘上沙阻条师选激医讨该找创感染大部分的WIN查照护误文老国伟32下的PE格式顾末响且每的可执行程序。
当一个已经感染的文件被启动,这个WORM把自己的一个副本复制到WINDOWNS系统文件夹下,命名为"krn132.exe",他会把如下键值写入注册表(如下)并且随WIND活球纪将树史工OWNS一起启动。
抓设住松皮规林厚 HKLM\Software\Microsoft\Windows\CurrentV路前缺百目吧预道马奏该ersion\Run
静许场声乡巴 Krn132 = %System%\Krn132.exe
其中%System%是系统文件夹的名字
当这个病毒车毫练河本仍华寻找到以下运行中的应用程序,他将使用"TerminateProcess" 命令强制象决阿众卸载他们。
_AVP32, _AVPCC, _AVPM五, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32那, NSCHEDNT, NSPLUGIN, SCAN, SMSS
传播方式
用EM层袁构聚笔顾参基病飞误AIL进行传播
病毒会使用SMTP协议发送E态MAIL消息。他会在你的WAB数据库中找到EMAIL地址,同时把含有病毒的消息发送给他们。
顺斯 带毒邮件的主题是从下面内容中随机选出的:
Hello
How are you?
Can you help me握证树如雨察?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
邮件正文如下:
I'm sorry to do so,but it's helpless to say sory. I want a good job,I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? NO more than $5,500. What do you think of this fact? Don't call my names,I have no hostility. Can you help me?
邮件的附件是随意名字的WIN32下的PE格式可执行文件,他用.EXE的扩展名,或双扩展名(如:name.ext.exe)
它在所有可利用的驱动器中扫描以下扩展名的文件:
.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg
它用所找到的文件其中的一个作为附件的主文件名,然后把它加上第二个文件扩展名".exe",例如:"Ylhq.htm.exe", "If.xls.exe",等等
它会向感染消息中插入一个"FROM"地址,该地址可能是随机产生,或者是一个真实的EMAIL地址。
这个蠕虫有一个非常有趣的特点:在这个被感染消息发送以前,把找到的EMAIL列表写入到它本身的可执行程序中。
病毒体内的所有字符串(消息与地址)都是以加密状态进行存储。
二、在本地驱动器与网络驱动器之间传播
病毒会WORM枚举所有具有写权限的本地驱动器与网络驱动器,复制一个随机命名的副本到找到的本地驱动器与网络驱动器,(随机命名的方式与附件命名的方式相似)然后病毒把自己作为系统服务应用程序注册到远程机器上。
这个蠕虫在偶数月份的13日发作,它把染毒计算机磁盘上所有的文件用随机内容进行填充。除非文件有备份,否则这些被病毒破坏的文件是无法恢复的。
病毒清除
RS_klez.exe:瑞星杀毒软件的I-Worm.Klez专杀版本。
因为这个病毒利用了IE来自的mediaplayer漏洞所以一预览就自动打开,Microsoft已经出了补丁,所以建议大家去Windows Update升级:
