簡介
求職信病毒求職信(Worm.wantjob.57345)病毒是一種新型惡意蠕蟲病毒,它具有罕見的雙程式結構,分為蠕虫部分(網路傳播)和病毒部分(感染檔案、破壞檔案)。兩者在代碼上是獨立的兩部分,可能也是分開編寫的。兩者的結合方式非常有趣,作者先寫好蠕虫部分,然後將病毒部分的二進制碼在特定位置加進蠕虫部分,得到最終的病毒/蠕蟲程式。感染該病毒後,計算機速度會明顯變慢,系統資源明顯減少,硬碟可用空間急劇減少。應該儘快用查找功能查看一下有沒有WQK.exe和Krn132.exe檔案,如果有的話,就說明該計算機已感染求職信病毒了。
傳播方式
它的傳播方式有四種:
第一種:通過INTERNET郵件,它搜尋當前用戶的地址簿檔案中的類郵件地址的文本內容,或隨機計算郵件地址,通過WINDOWS的SOCKET函式集用SMTP伺服器傳送自己這個帶毒木馬,郵件檔案是由木馬部分形成,並且該郵件會在OUTLOOK EXPRESS下自動執行,它的主題是隨機的,但以下幾種情況:
| Hi | Hello |
| How are you? | Can you help me? |
| We want peace. | Where will you go? |
| Congratulations!!! | Don't cry. |
| Look at the pretty. | Some advice on your shortcoming. |
| Free XXX Pictures. | A free hot porn site. |
| Why don't reply to me? | How about have dinner with me together? |
信的正文為:
| I'm sorry to do so,but it's helpless to say sorry. I want a good job,I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? NO more than ,500. What do you think of this fact?..Don't call my names,I have no hostility. Can you help me? |
第二種:通過網路鄰居,它搜尋所有的網路連線,查找已分享資料夾,將自己的檔案放到享目錄中,並試圖讓遠程計算機將它作為一個服務啟動。
第三種:通過磁碟傳播,它創建專門的執行緒感染磁碟,如果當前日期奇數月的13號,將找到的檔案內容進行複製。
第四種:方式病毒感染。
運行過程
病毒部分的運行過程:
一、解密後面的代碼長度258H位元組
二、然後病毒在記憶體中查找KERNEL32模組,並根據名字的檢驗字找到一大批函式入口,這些函式供後面的代碼
求職信病毒三、申請記憶體,將所有代碼拷貝到申請的記憶體中,並轉申請的記憶體執行。
四、查檢有無調試程式(調IsDebugPresent函式),如在調試程式下運行,終止病毒代碼,返回到原宿主程式(如果是配套的木馬,則返回到作業系統)。
五、啟動感染代碼,如未在調試程式下運行,在SYSTEM(由GetSystemDirectory)目錄感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。
六、將當前進程註冊為服務進程。
七、創建感染執行緒,根據系統時間,如果為13號且為3月或9月,感染所有硬碟或網路盤檔案。否則感染系統目錄。某些條件下創始的感染執行緒會啟動另一個感染執行緒,直到系統崩潰。
八、如果是NT作業系統,同時感染所有網路鄰居。
九、返回宿主或作業系統。
木馬部分運行過程:
一、解碼所有字元串。
二、改變當前進程訪問許可權。
三、啟動執行緒1,執行緒1的作用如下:
檢查當前所有進程,如果有以下進程(部分匹配),則終止這些進程:
如果是WINDOWS9X系統,將當前程式設為自啟動(Software\Microsoft\Windows\CurrentVersion\Run)執行緒永不終止。
四、啟動執行緒2,作用如下:
複製自己,運行後刪除,然後執行緒終止。
五、在系統目錄中創建KRNL32.EXE,如果是9X,運行它,並將它放入 Software\Microsoft\Windows\CurrentVersion\Run 中自動運行。如果是2000系統,將它作為Service啟動。
六、創建執行緒3,傳送EMAIL。
創建執行緒4,感染網路所有已分享檔案,每8小時搜尋一次。
創建執行緒5,搜尋磁碟檔案。
創建執行緒6,檢查當前日期是否為奇數月的13號,如是,將所有檔案複製一次,執行緒5小時運行一次,永不退出。
傳播示意圖
求職信病毒傳播示意圖病毒變種介紹——Worm.Klez.K
病毒名稱:Klez.k病毒,自稱Klez.e(由於有其它人修改此病毒導致總版本高於病毒作者自己的命名)。
病毒類型:複合型病毒,包含兩個部分,隨著郵件傳播的蠕蟲病毒Klez和此蠕蟲釋放出來的Foroux病毒。
病毒傳播目的:釋放病毒作者新完成的Foroux病毒。
此次由瑞星公司未知郵件系統首先截獲的Klez.k病毒自稱Klez.e,由於又有其他人又修改了此病毒,因而
總版本高於病毒作者自己的命名。
求職信病毒變種klez.k病毒是一個複合型病毒,包含兩個部分:隨郵件傳播的蠕蟲病毒Klez和由此蠕蟲釋放出來的Foroux
病毒。此次病毒傳播的主要目的就是釋放病毒作者新完成的Foroux病毒。
此次最新發現的Klez.k病毒和以往版本的“求職信”病毒類似,啟動了7個執行緒,其作用主要如下:
1.外發郵件;
2.修改註冊表;
3.搜尋本地檔案;
4.搜尋網路鄰居。
通過郵件傳播,這個Klez.k“求職信”病毒的信件主題可能為以下幾組內容的組合(%s用於互相組合):
| Hi,Hello,Re:Fw:Undeliverable mail--"%s",Returned mail--"%s" |
| a %s %s game.a%s %s tool.a %s%s website.a %s%s patch.%s removal tools new. |
| excite.good.powful.WinXP.IE 6.0.W32.Elkern How are you.Let's be friends.Darling.So cool a flash, |
| enjoy it.Your password.Honey.some questions.Please try again.Welcome to my hometown.The Garden of Eden.Introduction on ADSL.Meeting notice. |
| Questionnaire.Congratulations.Sos!.Japanese girlVS playboy.Look,my beautiful girl friend.Eager to see you.Spicegirls' vocal concert.Japanese lass' sexy pictures |
郵件附屬檔案的虛假擴展名可能為以下之一:
| txt | htm | html | wab | doc | xls | jpg | cpp | c | pas | mpg | mpeg | bak | mp3 |
真實擴展名為以下之一:EXE SCR PIF BAT
病毒體內有以下加密信息:
| Win32 KlezV2.01 & Win32 Foroux V1.0..Copyright 2002,made in Asia..About Klez V2.01 |
| 1,Main mission is to release the new baby PE virus,Win32 Foroux |
| 2,No significant change.No bug fixed.No any payload About Win32Foroux (plz keep the name,thanx) |
| 1,Full compatible Win32 PE virus on Win9X/2K/NT/XP |
| 2,With very interestingfeature.Check it! |
| 3,No any payload.No any optimization |
| 4,Not bug free,because of a hurry work.No more than three weeks fromhaving such idea to accompl -ishing coding and testing |
病毒體內還有一段html格式的信息,如下:
| Worm Klez.E immunity.Klez.E is the most common world-wide spreading worm. It'svery dangerous by corrupting your files. |
| Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it. |
| We developedthis free immunity tool to defeat the maliciousvirus. |
| Youonly need to run this tool once,and then Klez will never come into your PC. |
| NOTE: Because this tool acts as a fake Klez tofool the real worm,some AV monitor maybe cry when you run it. |
| If so,Ignorethe warning,andselect 'continue'. |
| If you have any question,please mailto me |
Klez釋放出的Foroux病毒,大小為10240位元組,可能用彙編語言在windows2000下編寫的。此病毒進行了簡
單但多次的加密和變形,以阻止靜態和動態分析。
病毒會搜尋kernel32.dll以獲得以下函式的入口地址:
| SetFileAttributesA | GetFileAttributesA | CreateFileA | SetFilePointer | SetEndOfFile |
| CreateFileMappingA | SetFileTime | GetFileSize | GetFileTime | CreateThread |
| ReadProceseeeMemory | VirtualProtectEx | OpenFileMappingA | UmapViewFile | MapViewFille |
| WriteProcessMemory | FindNextFileA | FindFirstFileA | FindClose | OpenProcess |
| MultiByteToWideChar | FindCloseChenge | GetDirverTypeA | lstrcmpiA | LoadLibraryA |
| GetModuleFileName | Process32First | GetVersion | Sleep | GetTickCount |
| CreatToolhelp32Snapshot | Process32Next |
此病毒的隱蔽性表現在:
1、不會感染作業系統保護的檔案,以防止系統提示用戶。
2、遍歷進程,並打開EXPLORER進程進行感染,但由於程式的問題,經常導致EXPLORER和其它進程運行錯誤。
3、此病毒遍歷檔案系統,試圖進行感染。
4、此病毒會創建名為WQK的命名記憶體映象,並將病毒體置於其中,用於進程間感染。
此病毒的破壞性表現在:
1、加密保存用戶檔案,造成用戶程式使用不正常。
2、影響了EXPLORER等進程的正常工組,導致用戶使用中經常出現非法操作。
3、亂髮郵件加重郵件系統負荷。
4、搜尋網路導致占用網路資源。
此病毒的傳播途徑有:
1、通過郵件附屬檔案
2、網路鄰居或者映射的網路驅動器
病毒變種介紹——Worm.Klez.L
病毒名稱:W32.Klez.H@mm
病毒大小:大約90K
瑞星命名:Worm.Klez.L
W32.Klez.H(Worm.Klez.L)是一個被更改過的W32.Klez.E@mm,這個變種可以通過Email和網路共享傳播,感染檔案。
傳播方式:
如果病毒被運行後,病毒會將自身拷貝到SYSTEM目錄下取名為Wink[隨機字元].exe。
病毒在註冊表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加:
Wink[隨機字元] %System%\Wink[隨機字元].exe
或者創建:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[隨機字元]並添加一個鍵值,使得系統啟動時病毒也可以運行。
病毒試圖通過停止一些進程來終止反病毒軟體以及阻止一些蠕蟲的運行,病毒會刪除下列檔案:
| Anti-Vir.dat | Chklist.dat | Chklist.ms | Chklist.cps | Chklist.tav |
| Ivb.ntz | Smartchk.ms | Smartchk.cps | Avgqt.dat | Aguard.dat |
病毒還會將自身拷貝至本地、映射網路驅動器中,檔案名稱可能為:
雙擴展名的隨機檔案,如Filename.txt.exe
雙擴展名的.rar檔案,如Filename.txt.rar
病毒會搜尋Windows地址簿、ICQ資料庫及本地檔案中的所有郵件地址,並將自己作為郵件的附屬檔案傳送給上述郵件地址,病毒有自己的SMTP引擎。
帶毒郵件的主題、郵件正文、附屬檔案名稱都是隨機的,其郵件來源(From:項)是從被感染機器上所找到的郵件地址中隨機選取的。
病毒從如下後綴名的檔案中搜尋郵件地址:
| .MP8 | .exe | .scr | .pif | .bat | .txt | .htm | .html | .wab | .asp | .doc |
| .rtf | .xls | .jpg | .cpp | .pas | .mpg | .mpeg | .bak | .mp3 |
郵件標題可能為:
| Undeliverable mail--"[隨機字元]" | Returned mail--"[隨機字元]" | a [隨機字元] [隨機字元] game |
| a [隨機字元] [隨機字元] website | a [隨機字元] [隨機字元] patch | [隨機字元] removal tools |
| how are you | let's be friends | darling |
| so cool a flash,enjoy it | your password | honey |
| some questions | please try again | welcome to my hometown |
| the Garden of Eden | introduction on ADSL | meeting notice |
| questionnaire | congratulations | sos! |
| japanese girl VS playboy | look,my beautiful girl friend | eager to see you |
| spice girls' vocal concert | japanese lass' sexy pictures |
其中[隨機字元]可能是下列之一:
| new | nice | excite | powful | IE 6.0 | W32.Elkern | Mcafee | Sophos | Kaspersky |
| funny | humour | good | WinXP | Symantec | W32.Klez.E | F-Secure | Trendmicro |
郵件正文的內容是隨機的。
如果在未打補丁的Outlook或Outlook Express中打開病毒郵件,郵件附屬檔案會自動運行。
病毒感染執行檔時先創建一個待感染檔案的副本,並將檔案副本加密,但該副本中不含病毒代碼,檔案副本與原檔案名稱相同,但是擴展名是隨機的。然後病毒將待染毒檔案用病毒覆蓋。
病毒會向Program Files目錄中釋放另一個病毒,檔案名稱隨機,並運行它。
病毒在得到運行後,首先提升自身的運行級別,然後將自己複製到Windows系統目錄下, 檔案名稱總以Wink開頭,同時還會放出一個小病毒體(Win32.Foroux.exe),最後分別運行它們並退出。當病毒被自己再次運行時,它會發現自身已處於系統目錄下,此時病毒運行線路發生改變,它不再複製自身,而是創建7個病毒執行緒,並以系統服務的形式駐留記憶體。病毒的7個執行緒分別完成以下任務。
(1)遍歷所有進程,殺掉對它有威脅的進程。稍後再作詳細介紹。
(2) 在本地硬碟搜尋一些著名防毒軟體的數據檔案,發現後立即後刪除,導致它們無法運行。
(3) 感染註冊表中某些已登記安裝了的軟體,例如Explorer,WinZip,WinRAR,OutLook等,因為這些軟體比較常用,可保證病毒被激活。
(4) 搜尋網路鄰居中的可寫資料夾,並將病毒體複製到其中,以便擴大傳染面積。
(5) 通過自帶的SMTP客戶端程式向用戶地址簿的地址傳送帶毒郵件。郵件標題多為吸引人的標題。例如Christmas , Hope等。此郵件在老版本系統上會自動執行附屬檔案。
求職信病毒(6) 將小病毒體釋放到Program File目錄中,檔案名稱隨機,並啟動此小型病毒體(Win32 Foroux).病毒Win32 Foroux是個典型的檔案型病毒,啟動後即開始全盤感染執行檔。由於病毒會識別受Win2K,WinXP的系統認證保護的檔案,所以在病毒感染系統目錄時,不會引起警報對話框。
(7) 在Windows的Internet臨時資料夾中搜尋對它有威脅的檔案,找到後立即刪除。從而阻止用戶上網升級或下載對付它的程式。
病毒的清除
此病毒會刪除防毒軟體的主程式,以至於用戶無法升級防毒軟體,所以採用瑞星專殺版本是比較有效的方法,瑞星專殺版本檔案名稱不固定,也可保證不含有敏感字元串,即使包含病毒識別的字元串,由於瑞星專殺版本的運行速度很快,在病毒發現它以前,病毒已被它殺掉,所以不怕此類病毒。
另一種方法是開啟瑞星郵件監控系統和瑞星記憶體實時監控系統進行實時攔截,任何企圖調用它們對主程式進行操作的代碼都會被攔截,提示用戶是否確認,這樣就杜絕主程式被刪或被停,這時就如同查殺普通病毒一樣了。
病毒變種介紹——中文版求職信
近日,“求職信”系列病毒的肆虐,給國內的企業和個人造成了難以計數的損失,各大反病毒機構均向社會發出了最高級別的病毒警告。在反病毒企業與社會各界通力配合,消滅“求職信”病毒的時候,國內的一些人卻利用此病毒作起了“惡意的文章”——其新的變種5月10日晚改頭換面變成了中文版。這個被《瑞星防毒軟體2002增強版》的郵件病毒自動攔截系統截獲,被命名為“中文版求職信”的病毒,從種種跡象表明是國人所為。
病毒介紹:
“中文版求職信”病毒具有極強的傳播感染能力,可以通過郵件、區域網路已分享資料夾等途徑進行感染,並能自動獲取用戶地址薄中的信息亂髮郵件。此病毒中的信息模仿求職信病毒,病毒內部的信息都是中文。病毒通過 163.com, 163.net, 263.net, sina.com,china.com,citiz.net的郵件伺服器發郵件,郵件的地址是該病毒自己隨機生成的。郵件會附帶一個.exe或.vbs的檔案。.exe檔案就是該病毒本身,.vbs是包含其中的腳本病毒。
郵件標題包括以下幾種:
求職信病毒“我喜歡你!”、“您好”、“恭喜!”、“節日快樂”、“你中獎了”、“你的朋友”、“同學聚會”、“祝你生日快樂”、“你的朋友給你寄來的賀卡”等。
郵件正文包括以下幾種:
“just for my father !”、“我是程式設計師”,“我需要一份工作!”、“我需要一份工作!”、“我喜歡你!”、“你的朋友”、“同學聚會”、“我要逃離大學”等。
病毒附帶的腳本檔案病毒修改了瀏覽器首頁,並在windows的目錄下生成一個名為:Win32Dll.vbs和MSKernel.vbs兩個病毒檔案,並將以上兩個檔案的路徑加入註冊表的run值中,以便下次啟動計算機時可以自動載入此腳本病毒。同時,病毒能夠自動查找本地驅動器和網路驅動器,將所有.exe,.dll, .dat, .mp3, .doc的檔案進行刪除操作。
這是在國內首次發現的求職信病毒的中文變種,病毒體內用中文標明,並自動將用戶瀏覽器默認主頁設定一個網址,從病毒的編制手法和技術水平來看,只是對“求職信病毒”做了中文化修改。
作者相關報導
"求職信"病毒作者無惡念 只想找份好工作?
2002年在網上泛濫的求職信最新變種搞到人心惶惶,各反毒廠商也緊急升級病毒庫,以幫助電腦用戶查殺此惡意蠕蟲病毒。雖如此,仍有報導各個國家均有數電腦中招癱瘓,尤其在亞洲,求職信變種更是達到瘋狂的地步,日本、香港及台灣等地時不時有公司及政府機構的電腦系統遭至攻擊,造成的損失不可計估。如此一個惡意病毒,讓人不禁咒罵病毒作者的險惡,那么就讓我們看看藏在病毒之後的"英雄"、編寫此病毒的作者的一些幕後故事吧!
從Klez病毒代碼中可以看到,有一段病毒作者自述的文字,此文字寫到病毒作者想要找份好工作,抱怨目前的收入太低,與其能力根本不相吻合,還向反病毒研究員指出了各個變種新增加功能的技術特徵。從代碼內的這段文字 來看,Klez病毒作者的最初意圖就是想把編寫病毒來作為一種變相的求職方式。
2001年10月出現的第一個求職信病毒,代碼中寫到:"非常抱歉編寫了此病毒,但事出無奈。我僅想找一份好工作。我的父母等著我贍養。現在大家見識了我的技術能力了吧!你們能想像得到我現在的年薪是多少嗎?還不到5500元,不可思議吧!所以你們請不要罵我,我本沒有什麼惡意,你們能理解我嗎?"
最新變種的代碼中作者也寫到,新蠕蟲是出自亞洲,他同時向反病毒公司稱,由於時間匆忙,從構思、編碼到測試整個過程不到三個星期,所以Bug在所難免。病毒作者還極其炫耀的表示,新變種有一個新的特別"有趣"的地方。而反病毒專家則表示至今還未發現新變種有什麼特別有趣的地方。
然而,不管病毒作者的初衷是惡念也好,只想找好工作且向示人炫耀其能力也罷,自求職信病毒出現後,已造成了全球多數電腦癱瘓,損失不可謂不大,從這點上講,編寫此病毒的作者理應受到譴責。
求職信病毒求職信病毒變成中文版 作者疑為國內學生
新華網北京2002年5月11日電(記者顧洪洪)
近期發作頻繁、變種不斷的"求職信"計算機病毒,其新的變種2002年5月10日晚改頭換面變成了中文版,被瑞星防毒軟體的郵件病毒自動攔截系統截獲,這是瑞星截獲的第14個"求職信"病毒變種。
據瑞星公司研發部透露:這是在國內首次發現的求職信病毒的中文變種,郵件標題為[被禁止廣告]
中文:"你的朋友給你寄來的賀卡;祝你生日快樂;同學聚會;你中獎了;節日快樂;恭喜;你好;我喜歡你;我要逃離大學"等,病毒體內用中文標明國內某高校,並自動將用戶瀏覽器默認主頁設定到這一學校的網址,從病毒的編制手法和技術水平來看,只是對"求職信病毒"做了中文化修改,疑為高校一學生所為。
這一病毒具有極強的傳播感染能力,可以通過郵件、區域網路已分享資料夾等途徑進行感染,自動獲取用戶地址簿中的信息亂髮郵件,並查找本地驅動器和網路驅動器,用戶如果發現帶有以下類型的檔案:.exe,.dll, .dat, .mp3,.doc時,要將這些檔案及時刪除。目前收到的信息表明,這一病毒已在社會上造成較大範圍的感染。
通過對這一病毒的深入分析,發現此病毒還帶有一些詳細的中文個人信息。瑞星公司正積極會同校方、公安部及社會心理學專家,對這一事件進行跟蹤調查。
相關下載
RS_klez.exe:瑞星防毒軟體求職信系列病毒專殺版 http://download.rising.com.cn/zsgj/RS_klez.exe
RSRepair.exe:求職信檔案恢復工具 http://download.rising.com.cn/zsgj/RSRepair.exe
常見計算機病毒
| 隨著電腦的普及,幾乎所有的電腦用戶都已知道“計算機病毒”這一名詞。對於大多數計算機用戶來說,談到“計算機病毒”似乎覺得它深不可測,無法琢磨。那么比較常見的病毒有哪些呢? |
