求职信推成石举核列盐价形”这种新型邮件病毒属于黑客木马型邮件病毒,采用了双层加密技术,其基本可分为两部分:一部分是狭义上的病毒,感染PE结构文件,大小约为3K,用汇编语言编写;第二部分是蠕虫,大小为56K,它会释放并运行一个长度为11722字节的带毒的PE文件,是用VC++编写的。它只可以在WINDOWS 9X或WINDOWS2000上运角西文号乙说苦宗行,在NT4.0上无法运行。
求职信病毒 求职信(Worm.wantjob.57345)病毒是一种新型恶意蠕虫病毒,它具有罕见的双程序结构,分为证哪式场纪宁评蠕虫部分(网络传播)和病毒部分(感染文件、破坏文件)。两春握植南朝修决黑者在代码上是独立的两部分,可能也是分开编写的。两者的结合方式非常有趣,作者先写好蠕虫部分,然后将病毒部分的二进制码在特定位置加进蠕虫部分,得到最终的病毒/蠕来自虫程序。感染该病毒后360百科,计算机速度会明显变慢,系统资源明显减少,硬盘可民穿且穿滑用空间急剧减少。应该尽快用查找功能查看一下有没有WQK.exe和Krn132.exe文件,如果有的话硫够式操上,就说明该计算机已感染以么歌划迅经动断征求职信病毒了。
它的传播方式有四种:
第一种:通过INTERNET邮件,它搜索当的鱼否零因委张前用户的地址簿文件中的类邮件地址的文本内容,或随机计算邮件地址,通过WINDOWS的SOCKET函数集用SMTP服务器发送自己这个带毒木马,邮件文件是由木马部分形成,并且该邮件会在OUTLOOK EXPR究副互稳孙延ESS下自动执行,它的主题是随机的运周行众,但以下几种情况:
| Hi | Hello |
| How are you? | Can you help me? |
| We want peace. | Where will you go? |
| Congratulations!!! | D四收问传仍庆即溶查几on't cry. |
| Look at the pretty. | Some advice on your shortco武尔组翻种模良ming. |
| Free XXX Pictures. | A free hot 顾济联其porn site. |
| Why 随波电目内刻don't reply to me? | How abo黄乱ut have dinner with me together? |
信的正文为:
| I'接环两且己区垂关农三讨m sorry to do so,but it's helpless t朝比律刻民排o say sorry. |
I wa苗款入重否物住nt a good jo达b,I must support my parents.
Now you have seen my technical capabili权系歌钢斗常者既扩际水ties.
How much my year-salary now? NO more than ,500.
What do you think of this fact?..Don't call my names,I have no hostility.
Can you help me?
第二种:通过网络邻居,它搜索所有的网络连接,查找共享目录,将自己的文件放到分享目录中,并试图让远程计算机将它作为一个服务启动。
第三种:通过磁盘传播,它创建专门的线程感染磁盘,如果当前日期奇数月的13号,将找到的文件内容进行复制。
第四种:方式病毒感染。
病毒部反真体见龙现往以未东分的运行过程:
一、金越敌息解密后面的代码长度258效巴H字节
二、然后病毒在内存中查找KERN来自EL32模块,并根据名字的检验字找到一大批函数入口,这些函数供后面的代码
求职信病毒 调用。
三、申请内存,将所有代码拷贝到申请的内存中,并转申请的内存执行。
四、查检有无调试程序(调IsDebugPresent函它之认诗干侵数),如在调试程序下运行,终止病毒代码,返回到原宿主程序(如果360百科是配套的木马,则返故定波宁蛋志们测排回到操作系统)。
五、启动感染代码,如未秋模评特激福变八非脚封在调试程序下运行吸厚话灯烧肥林把经广起,在SYSTEM(由GetSystemDirectory)目录感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。
六、将当前妒掌故过会进程注册为服务进程。
七、创建感染线程,根据系统时间,如果为13号且为3月或9月,感染所有硬盘或网络盘文件。否则感染系统交门特击即协范掉宪场德目录。某些条件下创始的感染线程会启动另一个感染线程,直到系统崩溃。
八、如果是NT操作系统,同时感染所有网络邻居。
九、返回宿主或操作系宜乙统。 木马部分运行过程和席阳活:
一、解码所有字符串。
二、改变当口坚呼孩位殖兵被距她粉前进程访问权限。
三、启动线程1,线程1的作用如下:
检查当前所有进燃治今放战活余程,如果有以下进程(部分匹配),则终止这些进程:
| _AVP32 | _AVPCC | _AVPPM | ALERTSVC | AMON | AVP32 | AVP立责小自普织处奏适手加CC | AVPM |
| N32SCANW | NAVAPSV静剂C | NAVAPW32 | NAVLU32 | NAVRUNR | NAVW32 | NAVWNT | NDD32 |
| NPSSVC | NRESQ32 | NSCHED32 | NSCHEDNT | NSPLUGIN | SCAN | SMSS |
如果是WINDOWS9X系统,将当前程序设为自启动(Software\Microsoft\Windows\CurrentVersion\Run)线程永不终止。
四、启动线程困表课爱越南承2,作用如下:
复制自己,运行后删除,然后线程终止。
五、在系统目录中圆杀际判端干留创建KRNL32.EXE,如果是9X,运行它,并将它放入 核种罗改解王厚Software\Microsoft\Windows\CurrentVersion\Run 中自动运行。如果是2000系统,将它作为Service启动。
六、创建线程3,发送EMAIL。
创建线程4,感染网络所有共享文件,每8小时搜索一次。
创建线程5,搜索磁盘文件。
创建线程6,检查当前日期是否为奇数月的13号,如是,将所有文件复制一次,线程5小时运行一次,永不退出。
求职信病毒 病毒名称:Klez.k病毒,自称Klez.e(由于有其它人修改此病毒导致总版本高于病毒作者自己的命名)。
病毒类型:复合型病毒,包含两个部分,随着邮件传播的蠕虫病毒Klez和此蠕虫释放出来的Foroux病毒。
病毒传播目的:释放病毒作者新完成的Foroux病毒。
此次由瑞星公司未知邮件系统首先截获的Klez.k病毒自称Klez.e,由于又有其他人又修改了此病毒,因而
总版本高于病毒作者自己的命名。
求职信病毒 klez.k病毒是一个复合型病毒,包含两个部分:随邮件传播的蠕虫病毒Klez和由此蠕虫释放出来的Foroux
病毒。此次病毒传播的主要目的就是释放病毒作者新完成的Foroux病毒。
此次最新发现的Klez.k病毒和以往版本的“求职信”病毒类似,启动了7个线程,其作用主要如下:
1.外发邮件;
2.修改注册表;
3.搜索本地文件;
4.搜索网络邻居。
通过邮件传播,这个Klez.k“求职信”病毒的信件主题可能为以下几组内容的组合(%s用于互相组合):
| Hi,Hello,Re:Fw:Undeliverable mail--"%s",Returned mail--"%s" |
| a %s %s game.a%s %s tool.a %s%s website.a %s%s patch.%s removal tools new. |
funny.nice.humour
| excite.good.powful.WinXP.IE 6.0.W32.Elkern How are you.Let's be friends.Darling.So cool a flash, |
| enjoy it.Your password.Honey.some questions.Please try again.Welcome to my hometown.The Garden of Eden.Introduction on ADSL.Meeting notice. |
| Questionnaire.Congratulations.Sos!.Japanese girlVS playboy.Look,my beautiful girl friend.Eager |
to see you.Spicegirls' vocal concert.Japanese lass' sexy pictures
邮件附件的虚假扩展名可能为以下之一:
| txt | htm | html | wab | doc | xls | jpg | cpp | c | pas | mpg | mpeg | bak | mp3 |
真实扩展名为以下之一:EXE SCR PIF BAT
病毒体内有以下加密信息:
| Win32 KlezV2.01 & Win32 Foroux V1.0..Copyright 2002,made in Asia..About Klez V2.01 |
| 1,Main mission is to release the new baby PE virus,Win32 Foroux |
| 2,No significant change.No bug fixed.No any payload About Win32Foroux (plz keep the name,thanx) |
| 1,Full compatible Win32 PE virus on Win9X/2K/NT/XP |
| 2,With very interestingfeature.Check it! |
| 3,No any payload.No any optimization |
| 4,Not bug free,because of a hurry work.No more than three weeks fromhaving such idea to accompl |
-ishing coding and testing
病毒体内还有一段html格式的信息,如下:
| Worm Klez.E immunity.Klez.E is the most common world-wide spreading worm. |
It'svery dangerous by corrupting your files.
| Because of its very smart stealth and anti-anti-virus technic,most common AV software can't |
detect or clean it.
| We developedthis free immunity tool to defeat the maliciousvirus. |
| Youonly need to run this tool once,and then Klez will never come into your PC. |
| NOTE: Because this tool acts as a fake Klez tofool the real worm,some AV monitor maybe cry when |
you run it.
| If so,Ignorethe warning,andselect 'continue'. |
| If you have any question,please mailto me |
Klez释放出的Foroux病毒,大小为10240字节,可能用汇编语言在windows2000下编写的。此病毒进行了简
单但多次的加密和变形,以阻止静态和动态分析。
病毒会搜索kernel32.dll以获得以下函数的入口地址:
| SetFileAttributesA | GetFileAttributesA | CreateFileA | SetFilePointer | SetEndOfFile |
| CreateFileMappingA | SetFileTime | GetFileSize | GetFileTime | CreateThread |
| ReadProceseeeMemory | VirtualProtectEx | OpenFileMappingA | UmapViewFile | MapViewFille |
| WriteProcessMemory | FindNextFileA | FindFirstFileA | FindClose | OpenProcess |
| MultiByteToWideChar | FindCloseChenge | GetDirverTypeA | lstrcmpiA | LoadLibraryA |
| GetModuleFileName | Process32First | GetVersion | Sleep | GetTickCount |
| CreatToolhelp32Snapshot | Process32Next |
此病毒的隐蔽性表现在:
1、不会感染操作系统保护的文件,以防止系统提示用户。
2、遍历进程,并打开EXPLORER进程进行感染,但由于程序的问题,经常导致EXPLORER和其它进程运行错误。
3、此病毒遍历文件系统,试图进行感染。
4、此病毒会创建名为WQK的命名内存映象,并将病毒体置于其中,用于进程间感染。
此病毒的破坏性表现在:
1、加密保存用户文件,造成用户程序使用不正常。
2、影响了EXPLORER等进程的正常工组,导致用户使用中经常出现非法操作。
3、乱发邮件加重邮件系统负荷。
4、搜索网络导致占用网络资源。
此病毒的传播途径有:
1、通过邮件附件
2、网络邻居或者映射的网络驱动器
病毒名称:W32.Klez.H@mm
病毒大小:大约90K
瑞星命名:Worm.Klez.L
W32.Klez.H(Worm.Klez.L)是一个被更改过的W32.Klez.E@mm,这个变种可以通过Email和网络共享传播,感染文件。
传播方式:
如果病毒被运行后,病毒会将自身拷贝到SYSTEM目录下取名为Wink[随机字符].exe。
病毒在注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加:
Wink[随机字符] %System%\Wink[随机字符].exe
或者创建:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[随机字符]并添加一个键值,使得系统启动时病毒也可以运行。
病毒试图通过停止一些进程来终止反病毒软件以及阻止一些蠕虫的运行,病毒会删除下列文件:
| Anti-Vir.dat | Chklist.dat | Chklist.ms | Chklist.cps | Chklist.tav |
| Ivb.ntz | Smartchk.ms | Smartchk.cps | Avgqt.dat | Aguard.dat |
病毒还会将自身拷贝至本地、映射网络驱动器中,文件名可能为:
双扩展名的随机文件,如Filename.txt.exe
双扩展名的.rar文件,如Filename.txt.rar
病毒会搜索Windows地址簿、ICQ数据库及本地文件中的所有邮件地址,并将自己作为邮件的附件发送给上述邮件地址,病毒有自己的SMTP引擎。
带毒邮件的主题、邮件正文、附件名称都是随机的,其邮件来源(From:项)是从被感染机器上所找到的邮件地址中随机选取的。
病毒从如下后缀名的文件中搜索邮件地址:
| .mp8 | .exe | .scr | .pif | .bat | .txt | .htm | .html | .wab | .asp | .doc |
| .rtf | .xls | .jpg | .cpp | .pas | .mpg | .mpeg | .bak | .mp3 |
邮件标题可能为:
| Undeliverable mail--"[随机字符]" | Returned mail--"[随机字符]" | a [随机字符] [随机字符] game |
| a [随机字符] [随机字符] website | a [随机字符] [随机字符] patch | [随机字符] removal tools |
| how are you | let's be friends | darling |
| so cool a flash,enjoy it | your password | honey |
| some questions | please try again | welcome to my hometown |
| the Garden of Eden | introduction on ADSL | meeting notice |
| questionnaire | congratulations | sos! |
| japanese girl VS playboy | look,my beautiful girl friend | eager to see you |
| spice girls' vocal concert | japanese lass' sexy pictures |
其中[随机字符]可能是下列之一:
| new | nice | excite | powful | IE 6.0 | W32.Elkern | Mcafee | Sophos | Kaspersky |
| funny | humour | good | WinXP | Symantec | W32.Klez.E | F-Secure | Trendmicro |
邮件正文的内容是随机的。
如果在未打补丁的Outlook或Outlook Express中打开病毒邮件,邮件附件会自动运行。
病毒感染可执行文件时先创建一个待感染文件的副本,并将文件副本加密,但该副本中不含病毒代码,文件副本与原文件名相同,但是扩展名是随机的。然后病毒将待染毒文件用病毒覆盖。
病毒会向Program Files目录中释放另一个病毒,文件名随机,并运行它。
病毒在得到运行后,首先提升自身的运行级别,然后将自己复制到Windows系统目录下, 文件名总以Wink开头,同时还会放出一个小病毒体(Win32.Foroux.exe),最后分别运行它们并退出。当病毒被自己再次运行时,它会发现自身已处于系统目录下,此时病毒运行线路发生改变,它不再复制自身,而是创建7个病毒线程,并以系统服务的形式驻留内存。病毒的7个线程分别完成以下任务。
(1)遍历所有进程,杀掉对它有威胁的进程。稍后再作详细介绍。
(2) 在本地硬盘搜索一些著名杀毒软件的数据文件,发现后立即后删除,导致它们无法运行。
(3) 感染注册表中某些已登记安装了的软件,例如Explorer,WinZip,WinRAR,OutLook等,因为这些软件比较常用,可保证病毒被激活。
(4) 搜索网络邻居中的可写文件夹,并将病毒体复制到其中,以便扩大传染面积。
(5) 通过自带的SMTP客户端程序向用户地址簿的地址发送带毒邮件。邮件标题多为吸引人的标题。例如Christmas , Hope等。此邮件在老版本系统上会自动执行附件。
求职信病毒 (6) 将小病毒体释放到Program File目录中,文件名随机,并启动此小型病毒体(Win32 Foroux).病毒Win32 Foroux是个典型的文件型病毒,启动后即开始全盘感染可执行文件。由于病毒会识别受Win2K,WinXP的系统认证保护的文件,所以在病毒感染系统目录时,不会引起警报对话框。
(7) 在Windows的Internet临时文件夹中搜寻对它有威胁的文件,找到后立即删除。从而阻止用户上网升级或下载对付它的程序。 病毒的清除
此病毒会删除杀毒软件的主程序,以至于用户无法升级杀毒软件,所以采用瑞星专杀版本是比较有效的方法,瑞星专杀版本文件名不固定,也可保证不含有敏感字符串,即使包含病毒识别的字符串,由于瑞星专杀版本的运行速度很快,在病毒发现它以前,病毒已被它杀掉,所以不怕此类病毒。
另一种方法是开启瑞星邮件监控系统和瑞星内存实时监控系统进行实时拦截,任何企图调用它们对主程序进行操作的代码都会被拦截,提示用户是否确认,这样就杜绝主程序被删或被停,这时就如同查杀普通病毒一样了。
近日,“求职信”系列病毒的肆虐,给国内的企业和个人造成了难以计数的损失,各大反病毒机构均向社会发出了最高级别的病毒警告。在反病毒企业与社会各界通力配合,消灭“求职信”病毒的时候,国内的一些人却利用此病毒作起了“恶意的文章”——其新的变种5月10日晚改头换面变成了中文版。这个被《瑞星杀毒软件2002增强版》的邮件病毒自动拦截系统截获,被命名为“中文版求职信”的病毒,从种种迹象表明是国人所为。
病毒介绍:
“中文版求职信”病毒具有极强的传播感染能力,可以通过邮件、局域网共享目录等途径进行感染,并能自动获取用户地址薄中的信息乱发邮件。此病毒中的信息模仿求职信病毒,病毒内部的信息都是中文。病毒通过 163.com, 163.net, 263.net, sina.com,china.com,citiz.net的邮件服务器发邮件,邮件的地址是该病毒自己随机生成的。邮件会附带一个.exe或.vbs的文件。.exe文件就是该病毒本身,.vbs是包含其中的脚本病毒。
邮件标题包括以下几种:
求职信病毒 “我喜欢你!”、“您好”、“恭喜!”、“节日快乐”、“你中奖了”、“你的朋友”、“同学聚会”、“祝你生日快乐”、“你的朋友给你寄来的贺卡”等。
邮件正文包括以下几种:
“just for my father !”、“我是程序员”,“我需要一份工作!”、“我需要一份工作!”、“我喜欢你!”、“你的朋友”、“同学聚会”、“我要逃离大学”等。
病毒附带的脚本文件病毒修改了浏览器首页,并在windows的目录下生成一个名为:Win32Dll.vbs和MSKernel.vbs两个病毒文件,并将以上两个文件的路径加入注册表的run值中,以便下次启动计算机时可以自动加载此脚本病毒。同时,病毒能够自动查找本地驱动器和网络驱动器,将所有.exe,.dll, .dat, .mp3, .doc的文件进行删除操作。
这是在国内首次发现的求职信病毒的中文变种,病毒体内用中文标明,并自动将用户浏览器默认主页设置一个网址,从病毒的编制手法和技术水平来看,只是对“求职信病毒”做了中文化修改。
"求职信"病毒作者无恶念 只想找份好工作?
2002年在网上泛滥的求职信最新变种搞到人心惶惶,各反毒厂商也紧急升级病毒库,以帮助电脑用户查杀此恶意蠕虫病毒。虽如此,仍有报道各个国家均有数电脑中招瘫痪,尤其在亚洲,求职信变种更是达到疯狂的地步,日本、香港及台湾等地时不时有公司及政府机构的电脑系统遭至攻击,造成的损失不可计估。如此一个恶意病毒,让人不禁咒骂病毒作者的险恶,那么就让我们看看藏在病毒之后的"英雄"、编写此病毒的作者的一些幕后故事吧!
从Klez病毒代码中可以看到,有一段病毒作者自述的文字,此文字写到病毒作者想要找份好工作,抱怨目前的收入太低,与其能力根本不相吻合,还向反病毒研究员指出了各个变种新增加功能的技术特征。从代码内的这段文字 来看,Klez病毒作者的最初意图就是想把编写病毒来作为一种变相的求职方式。
2001年10月出现的第一个求职信病毒,代码中写到:"非常抱歉编写了此病毒,但事出无奈。我仅想找一份好工作。我的父母等着我赡养。现在大家见识了我的技术能力了吧!你们能想像得到我现在的年薪是多少吗?还不到5500元,不可思议吧!所以你们请不要骂我,我本没有什么恶意,你们能理解我吗?"
最新变种的代码中作者也写到,新蠕虫是出自亚洲,他同时向反病毒公司称,由于时间匆忙,从构思、编码到测试整个过程不到三个星期,所以Bug在所难免。病毒作者还极其炫耀的表示,新变种有一个新的特别"有趣"的地方。而反病毒专家则表示至今还未发现新变种有什么特别有趣的地方。
然而,不管病毒作者的初衷是恶念也好,只想找好工作且向示人炫耀其能力也罢,自求职信病毒出现后,已造成了全球多数电脑瘫痪,损失不可谓不大,从这点上讲,编写此病毒的作者理应受到谴责。
求职信病毒 求职信病毒变成中文版 作者疑为国内学生
新华网北京2002年5月11日电(记者顾洪洪)
近期发作频繁、变种不断的"求职信"计算机病毒,其新的变种2002年5月10日晚改头换面变成了中文版,被瑞星杀毒软件的邮件病毒自动拦截系统截获,这是瑞星截获的第14个"求职信"病毒变种。
据瑞星公司研发部透露:这是在国内首次发现的求职信病毒的中文变种,邮件标题为[被屏蔽广告]
中文:"你的朋友给你寄来的贺卡;祝你生日快乐;同学聚会;你中奖了;节日快乐;恭喜;你好;我喜欢你;我要逃离大学"等,病毒体内用中文标明国内某高校,并自动将用户浏览器默认主页设置到这一学校的网址,从病毒的编制手法和技术水平来看,只是对"求职信病毒"做了中文化修改,疑为高校学生所为。
这一病毒具有极强的传播感染能力,可以通过邮件、局域网共享目录等途径进行感染,自动获取用户地址簿中的信息乱发邮件,并查找本地驱动器和网络驱动器,用户如果发现带有以下类型的文件:.exe,.dll, .dat, .mp3,.doc时,要将这些文件及时删除。目前收到的信息表明,这一病毒已在社会上造成较大范围的感染
通过对这一病毒的深入分析,发现此病毒还带有一些详细的中文个人信息。瑞星公司正积极会同校方、公安部及社会心理学专家,对这一事件进行跟踪调查。
RS_klez.exe:瑞星杀毒软件求职信系列病毒专杀版 http://download.rising.com.cn/zsgj/RS_klez.exe
RSRepair.exe:求职信文件恢复工具 http://download.rising.com.cn/zsgj/RSRepair.exe
关注微信