klez.k
2008-02-23 09:17:44来源:互联网 阅读 ()
病毒名称:
klez.k
类别: 蠕虫病毒
病毒资料:
此次最新发现的Klez.k病毒和以往版本的“求职信”病毒类似,启动了7个线程,其作用主要如下:
1.外发邮件;
2.修改注册表;
3.搜索本地文件;
4.搜索网络邻居。
通过邮件传播,这个Klez.k“求职信”病毒的信件主题可能为以下几组内容的组合(%s用于互相组合):
Hi,Hello,Re:Fw:Undeliverable mail--"%s",
Returned mail--"%s"
a %s %s game.a%s %s tool.a
%s%s website.a %s%s patch.%s
removal tools new.funny.nice.
humour.excite.good.powful.
WinXP.IE 6.0.W32.Elkern
How are you.Let's be friends.Darling.
So cool a flash,enjoy it.
Your passWord.Honey.some questions.
Please try again.Welcome to my hometown.
The Garden of Eden.IntrodUCtion on ADSL.
Meeting notice.
Questionnaire.Congratulations.Sos!
.Japanese girlVS playboy.Look,
my beautiful girl friend.Eager
to see you.Spicegirls' vocal concert.
Japanese lass' sexy pictures
邮件附件的虚假扩展名可能为以下之一:
txt htm Html wab doc xls jpg cpp
c pas mpg mpeg bak mp3
真实扩展名为以下之一:
EXE SCR PIF BAT
病毒体内有以下加密信息:
Win32 KlezV2.01 & Win32 Foroux V1.0..Copyright 2002,made in Asia..About Klez V2.01
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.
No any payload About Win32Foroux
(plz keep the name,thanx)
1,Full compatible Win32 PE virus on
Win9X/2K/NT/XP
2,With very interestingfeature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.
No more than three weeks fromhaving
such idea to accomplishing coding and testing
病毒体内还有一段html格式的信息,如下:
Worm Klez.E immunity.Klez.E is the
most common world-wide spreading worm.
It'svery dangerous by corrupting your files.
Because of its very smart stealth and
anti-anti-virus technic,
most common AV software can't
detect or clean it.
We developedthis free immunity tool
to defeat the maliciousvirus.
Youonly need to run this tool once,
and then Klez will never come into your PC.
NOTE: Because this tool acts as a
fake Klez tofool the real worm,
some AV monitor maybe cry when you run it.
If so,Ignorethe warning,andselect 'continue'.
If you have any question,please mailto me
Klez释放出的Foroux病毒,大小为10240字节,可能用汇编语言在windows2000下编写的。此病毒进行了简单但多次的加密和变形,以阻止静态和动态分析。
病毒会搜索kernel32.dll以获得以下函数的入口地址:
SetEndOfFile,
SetFilePointer,
CreateFileA,
GetFileAttributesA,
SetFileAttributesA,
FindCloseChenge,
GetFileTime,
SetFileTime,
GetFileSize,
CreateFileMappingA,
MapViewFille,
UmapViewFile,
OpenFileMappingA,
VirtualProtectEx,
ReadProceseeeMemory,
WriteProcessMemory,
OpenProcess,
FindFirstFileA,
FindNextFileA,
FindClose,
LoadLibraryA,
CreateThread,
MultiByteToWideChar,
Sleep,
lstrcmpiA,
GetModuleFileName,
GetDirverTypeA,
GetTickCount,
GetVersion,
CreatToolhelp32Snapshot,
Process32First,
Process32Next
此病毒的隐蔽性表现在:
1、不会感染操作系统保护的文件,以防止系统提示用户。
2、遍历进程,并打开EXPLORER进程进行感染,但由于程序的问题,经常导致EXPLORER和其它进程运行错误。
3、此病毒遍历文件系统,试图进行感染。
4、此病毒会创建名为WQK的命名内存映象,并将病毒体置于其中,用于进程间感染。
此病毒的破坏性表现在:
1、加密保存用户文件,造成用户程序使用不正常。
2、影响了EXPLORER等进程的正常工组,导致用户使用中经常出现非法操作。
3、乱发邮件加重邮件系统负荷。
4、搜索网络导致占用网络资源。
此病毒的传播途径有:
1、通过邮件附件
2、网络邻居或者映射的网络驱动器
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: klez.k病毒是一个复合型病毒,包含两个部分:随邮件传播的蠕虫病毒Klez和由此蠕虫释放出来的Foroux病毒。此次病毒传播的主要目的就是释放病毒作者新完成的Foroux病毒。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:I-Worm.Blowphish
下一篇:Worm.frethem
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
