病毒名稱
Win32.Klez.H(求職信新變體)其它名稱
KLEZ.G(Trend),Win32/Klez.H.Worm,W32/Klez.H@mm(NAV)病毒屬性
蠕蟲病毒危害性:中等危害流行程度:高具體介紹
Win32.Klez.H 是一個通過SMTP郵件群發及利用網路共享進行傳播的新病毒。另外,當它入侵系統後,其自身可在系統目錄中生成多變型的檔案病毒。通過郵件方式傳播時,其帶毒郵件中的信息是根據病毒內部的內容庫取得,因此郵件內容及標題不是固定的。其中包的HTLML代碼利用了IE瀏覽器及Outlook、Outlook Express的漏洞,如果用戶使用的系統存在這種漏洞,則病毒所攜帶的病毒附屬檔案會在用戶查看帶毒郵件被自動打開。關於此漏洞的詳細內容請參看:
http://www.microsoft.com/technet/security/bulletin/ms01-020.asp
病毒所代附屬檔案檔案的名稱是隨機生成的,其附屬檔案名稱可能是:
.exe
.scr
.pif
.bat
病毒傳播的郵件的主題可能包含以下辭彙或短語:
how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures
Detected
Hi,
Hello,
Re:
Fw:
Undeliverable mail--"*****"
Returned mail棑*****"
a ***** ***** game
a ***** ***** tool
a ***** ***** website
a ***** ***** patch
***** removal tools
例如,病毒可能生成如下一些帶毒郵件:
當病毒的附屬檔案被執行後,病毒將其自身複製到系統的system目錄下,然後更改如下註冊表的鍵值:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\="C:\WINDOWS\SYSTEM\"
儘管病毒檔案的名稱是隨機產生的,但檔案總是以 "Wink" 開頭,例如:winkhj.exe.
在病毒內容含有如下加密的文本字元:
?& Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing?/EM>
Klez病毒還有一個特性,它查找一個Win32 PE程式,將檔案拷貝成一個隨機後綴名的檔案,然後將原檔案覆蓋成病毒代碼。例如,它先將msaccess.exe拷貝為MSACCESS.UYI,然後覆蓋原始檔案MSACCESS.EXE。
在此過程中,感染檔案的長度不會增加,並且源檔案的功能能夠繼續保留。源檔案的拷貝將會被
賦予隱含屬性及系統屬性,並且被壓縮處理。經過此處理後,源檔案已經不是可執行的win32程式檔案。
當用戶執行一個被病毒修改的執行檔時,例如 MSACCESS.EXE (office中的檔案),首先病毒代碼被執行,然後病毒重新定位,將被處理過的原始檔案解壓縮並執行。
