您现在的位置: 首页 > 病毒库 > 蠕虫病毒
Win32.Klez.H(求职信新变体)
发布时间:2004-12-27 18:42:00
病毒名称:Win32.Klez.H(求职信新变体)
其它名称:KLEZ.G(Trend),Win32/Klez.H.Worm,W32/Klez.H@mm(NAV)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:
具体介绍:

  Win32.Klez.H 是一个通过SMTP邮件群发及利用网络共享进行传播的新病毒。另外,当它入侵系统后,其自身可在系统目录中生成多变型的文件病毒。

  通过邮件方式传播时,其带毒邮件中的信息是根据病毒内部的内容库取得,因此邮件内容及标题不是固定的。其中包的HTLML代码利用了IE浏览器及Outlook、Outlook Express的漏洞,如果用户使用的系统存在这种漏洞,则病毒所携带的病毒附件会在用户查看带毒邮件被自动打开。关于此漏洞的详细内容请参看:
http://www.microsoft.com/technet/security/bulletin/ms01-020.asp

病毒所代附件文件的名称是随机生成的,其附件名称可能是:
.exe
.scr
.pif
.bat
病毒传播的邮件的主题可能包含以下词汇或短语:
how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures
Detected
Hi,
Hello,
Re:
Fw:
Undeliverable mail--"*****"
Returned mail棑*****"
a ***** ***** game
a ***** ***** tool
a ***** ***** website
a ***** ***** patch
***** removal tools

例如,病毒可能生成如下一些带毒邮件:


当病毒的附件被执行后,病毒将其自身复制到系统的system目录下,然后更改如下注册表的键值:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\="C:\WINDOWS\SYSTEM\"

尽管病毒文件的名称是随机产生的,但文件总是以 "Wink" 开头,例如:winkhj.exe.

在病毒内容含有如下加密的文本字符:
?& Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing?/EM>

  Klez病毒还有一个特性,它查找一个Win32 PE程序,将文件拷贝成一个随机后缀名的文件,然后将原文件覆盖成病毒代码。例如,它先将MSACCESS.EXE拷贝为MSACCESS.UYI,然后覆盖原始文件MSACCESS.EXE。
  在此过程中,感染文件的长度不会增加,并且源文件的功能能够继续保留。源文件的拷贝将会被
赋予隐含属性及系统属性,并且被压缩处理。经过此处理后,源文件已经不是可执行的win32程序文件。
  当用户执行一个被病毒修改的可执行文件时,例如 MSACCESS.EXE (office中的文件),首先病毒代码被执行,然后病毒重新定位,将被处理过的原始文件解压缩并执行。

清除:

kill版本: