(这条文章已经被阅读了 189 次) 时间:2001-10-30 08:57:00 来源:扁豆老哥魏威 (扁豆老哥) 原创-IT
“求职信”病毒及介绍及解决方案
扁豆老哥:[email protected]
——————————————————————————————————-
正当人们对网络病毒“尼姆达”所造成的危害还心有余悸之时,一种新型电脑病毒“求职信”又“跳”出来给人们找麻烦。该病毒传播能力极强,必须加强防范。请尽快下载杀毒软件补丁。,“求职信”不仅具有“尼姆达”病毒自动发信、自动执行、感染局域网等破坏功能,而且在感染计算机后每隔0· 1秒查询内存中的进程、检查并终止内存中的杀毒软件。该病毒特性如下: 病毒传染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000。
邮件部分和Nimda/Sircam非常相似,它用WAB文件来获取EMail地址,使用内在的SMTP引擎来发送EMail。邮件内容是HTML,Klez用IFRAME漏洞在受害者的电脑上来执行自己,而不需要用户运行附件。
蠕虫试图使用某些版本的OutLook、OutLook Express、Internet Explorer的一个MIME漏洞来获取自动运行,而不需要用户双击附件。该病毒通过电子邮件传播,邮件的主题是不定的,可能是“How about have dinner with me together”或“How are you”或“A free hot porn site”或其他名称,附件的名称也是随机的,如“Nxrj.exe”,“Uruo.exe”,“Vws.exe”。如果用户使用微软的Outlook收发电子邮件,那么在预览含有该病毒的邮件时,病毒已经被执行。一旦感染此病毒,系统将变得非常缓慢。该病毒可通过Outlook地址簿中的邮件地址自动传播给其他用户。
蠕虫将自身拷贝到远程共享的机器上,文件是随机的。它也将自己拷贝到Windows系统目录中,文件名是krn132.exe,并释放病毒程序WQK.EXE。蠕虫设置注册键值
HKLMSoftwareMicrosoftWindowsCurrentVersionRunkrn132指向自己存放的位置。
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWQK指向自己存放的位置。
这样,系统启动时病毒就被运行。在患毒的机器中,病毒企图自动拨号上网传播。
当运行时,它首先解密所有需要复制的字符串。为了防止被怀疑,所有的字符串都简单地加密了。然后,它会初始化复制所需要的Socket库。然后,依赖操作系统,它会任意地尝试注册可执行的服务或隐藏的进程。再这以后,Klez将试图杀死内存中的反病毒程序。另外一个线程会释放并运行一个携带的病毒–Win32/ElKern,病毒将会在感染的计算机上繁殖。
蠕虫拷贝自己到系统目录,名字时krn132.exe。为了保证蠕虫能在下次启动的时候运行,会将自身注册到启动的注册表项。
然后,Klez将创建2个传播线程。一个是EMail传播,另外一个是局域网传播。
在这点,Klez也将创建26个线程,每一个线程对应一个驱动器,他们会查找下列后
缀的文件。”txt”, “htm”, “doc”, “jpg”, “bmp”, “xls”, “cpp”, “html”, “mpg”和”mpeg”.
如果日期是每个月的13号,Klez将调用它的发作部分。它将搜索每一个硬盘或映射盘从A到Z并毁掉所有的文件,很难恢复。日期的检查10分钟完成。
局域网传播线程每8小时激活一次,它将搜索局域网中所有的远程共享,并创建双扩展名的文件,如.doc.exe、.xls.exe,第一个扩展名是随机的,而第2个扩展名总是.exe。而且它会试图使用服务控制管理器远程执行这些文件。
病毒的清除:
1如果用户的硬盘分区是WINDOWS NI4、WINDOWS 2000、WINDOWS XP的NTFS格式,请用户安装KVW3000 5.0以上版本,该版本可在任何WINDOWS系统下杀除内存和被WINDOWS已经调用的染毒文件,可在系统染毒的情况下杀除病毒,目前只有KVW3000真正具备内存杀毒和毒中杀毒这一技术。
方法是:双击桌面上KVW3000的快捷图标,调出菜单即可。
2如果用户硬盘装的系统是WINDOWS 98以下,也可使用干净DOS软盘启动机器;
3执行KV3000.EXE或KVD3000,查杀所有硬盘中的病毒。
4修改注册表项:
a在WINDOWS“开始”栏内,运行REGEDIT,
b删除:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
删除其中的名称为WINDOWSSYSTEMKRN132.EXE的键值
删除其中的名称为WINDOWSSYSTEMWQK.EXE的键值
5修改系统启动项:
a在WINDOWS“开始”栏内,运行MSCONFIG,
去掉其中的名称为WINDOWSSYSTEMKRN132.EXE的勾值
去掉其中的名称为WINDOWSSYSTEMWQK.EXE的勾值
6为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
地址是:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
这样可以预防此类病毒的破坏。
7、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。
8、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区
9、开启KVW3000实时监测病毒防火墙。
10、再将邮箱中的带毒邮件一一删除,否则又会重复感染。
为了以防病毒有变种的可能,大家还是小心点收E-MAIL吧!