病毒名称:Klez(求职信)
别名:Win32/Krn132,Win32/Klez, W32.Klez, Kleza.A,ElKern, Klaz, Kletz, I-Worm.Klez
病毒特点:
由于病毒体代码包含以下内容,该英文信的内容与求职有关,所以我们将其命名为“求职信”病毒。
(I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?)
该病毒通过电子邮件传播,邮件的主题从下列中随机选取
Hi
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't Cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
Hi
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't Cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
附件的名称也是随机的,如Nxrj.exe,Uruo.exe,Vws.exe。如果用户使用微软的Outlook收发电子邮件,那么在预览含有该病毒的邮件时,病毒已经被执行。病毒一旦运行,将在C:\Windows\System下生成两个隐含文件Krn132.exe和Wqk.exe,修改注册表,添加如下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Krn132=C:\WINDOWS\SYSTEM\Krn132.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WQK=C:\WINDOWS\SYSTEM\Wqk.exe
同时感染PE文件和.scr文件。
一旦感染此病毒,系统将变得非常缓慢,并且该病毒还可以通过取Outlook地址簿中的邮件地址自动传播给其他用户。
病毒名称:Aliz
别名:Win32.Aliz, W95/Aliz.A, Peace,ALIZ.A, W32.Aliz.Worm, W32/Aliz@MM,
别名:Win32.Aliz, W95/Aliz.A, Peace,ALIZ.A, W32.Aliz.Worm, W32/Aliz@MM,
病毒特点:
该病毒使用汇编语言编写,是一个绰号为mar00n黑客编写的,病毒长度只有4K。该病毒与“求职信”病毒相类似,同样利用了微软IE浏览器不能正确处理HTML格式的邮件中的 MIME文件头的漏洞,因此,当用户收到Aliz病毒的邮件时,在预览该邮件时,就会激活病毒,自动执行邮件的附件Whatever.exe。一旦激活该病毒,病毒将自动向邮件地址列表中的所有地址自动发送病毒邮件,邮件的内容可随机从以下列表中选择。
Fw:
Fw: Re:
Cool
Nice
Hot
some
Funny
weird
funky
great
Interesting
many
website
site
pics
urls
pictures
stuff
mp3s
shit
music
info
to check
for you
i found
to see
here
- check it
!!
!
:-)
?!
hehe ;-)
For example "Fw: Cool pictures - check it!"
Fw: Re:
Cool
Nice
Hot
some
Funny
weird
funky
great
Interesting
many
website
site
pics
urls
pictures
stuff
mp3s
shit
music
info
to check
for you
i found
to see
here
- check it
!!
!
:-)
?!
hehe ;-)
For example "Fw: Cool pictures - check it!"
为了有效防止此类邮件病毒,请从以下网址下载安装IE浏览器的补丁程序
或将IE浏览器升级到6.0版本,升级步骤如下:
首先接入互联网,启动IE浏览器,选择工具——〉Windows Update(U),然后选择“产品更新”,在选择下载IE 6.0。
病毒名称:BadTrans.B
别名: W95/Badtrans.B@mm,W32/Badtrans-B, W32/Badtrans@mm,BadtransII, W32.Badtrans.B@mm, I-Worm.BadtransII,W32/BadTrans.B-mm
别名: W95/Badtrans.B@mm,W32/Badtrans-B, W32/Badtrans@mm,BadtransII, W32.Badtrans.B@mm, I-Worm.BadtransII,W32/BadTrans.B-mm
病毒特点:
Badtrans.b是一个电子邮件蠕虫病毒,该病毒为前一阶段出现的病毒Badtrans的变种。
该病毒在Win32系统下传染,病毒仍利用Outlook Express的漏洞,发送带有染毒附件的邮件,当用户在预览带有病毒附件的邮件时,附件就会自动执行,从而使用户受到该病毒的感染。病毒体包含两个部分——蠕虫和木马,蠕虫部分用于发送染毒信息,木马用于发送从染毒系统上窃取的用户信息,它将被感染机器的RAS数据、用户密码、键盘日志等发送到指定的邮件地址。一旦遭受病毒感染,病毒首先将自身释放到windows的system目录下,命名为Kernel32.exe,并修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOnce
Kernel32=Kernel32.exe
并生成一个动态链接库文件:KDLL.DLL,并将窃取的信息发送到hotmail的一个邮件地址,这些日志信息被存储在windows的system目录下的cp_25389.nls中。病毒在完成以上安装后将原始的感染文件删除。
邮件形式如下:
发件人:(原始发送者或从以下地址中随机选取的假地址)
"Anna" <[email]aizzo@home.com[/email]>
"JUDY" <[email]JUJUB271@AOL.COM[/email]>
"Rita Tulliani" <[email]powerpuff@videotron.ca[/email]>
"Tina" <[email]tina0828@yahoo.com[/email]>
"Kelly Andersen" <[email]Gravity49@aol.com[/email]>
"Andy" <[email]andy@hweb-media.com[/email]>
"Linda" <[email]lgonzal@hotmail.com[/email]>
"Mon S" <[email]spiderroll@hotmail.com[/email]>
"Joanna" <[email]joanna@mail.utexas.edu[/email]>
"JESSICA BENAVIDES" <[email]jessica@aol.com[/email]>
"Administrator" <[email]administrator@border.net[/email]>
"Admin" <[email]admin@gte.net[/email]>
"Support" <[email]support@cyberramp.net[/email]>
"Monika Prado" <[email]monika@telia.com[/email]>
"Mary L.Adams" <[email]mary@c-com.net[/email]>
"Anna" <[email]lindaizzo@home.com[/email]>
"JUDY" <[email]JUJUB@AOL.COM[/email]>
"Tina" [email]tina08@yahoo.com[/email]
主题:(主题为空或收件箱中原始邮件主题的回复形式)
邮件主体:(主体为空)
附件:(附件名称为以下名称和扩展名中随机选取的总和,即:“文件名” +“扩展名1” +“扩展名2” )
文件名为:
Pics(或PICS )
Card(或CARD)
p_w_picpaths(或IMAGES)
Me_nude(或ME_NUDE)
README
Sorry_about_yesterday
New_Napster_Site
info
news_doc(或NEWS_DOC)
docs(或DOCS)
HAMSTER
Humor(或HUMOR)
YOU_are_FAT!(或YOU_ARE_FAT!)
fun(或FUN)
stuff
SEARCHURL
SETUP
S3MSONG
扩展名1为DOC、ZIP或MP3
扩展名2为scr或pif
该病毒采用两种不同的方式收集邮件地址,并直接连接到SMTP服务器上发送染毒邮件。其一是蠕虫将扫描*.HT*和*.ASP文件,并从中提取出邮件地址,另一种方法是从收件箱中读取邮件并从中获得邮件地址。
蠕虫对同一邮件地址仅感染一次,病毒将所有感染过的邮件地址保存在C:\Windows\System目录下的PROTOCOL.DLL中,并在每次发送信息前检查该文件。
