Win32.WantJob

病毒别名：W32.Klez.A@mm[NAV]，I-Worm.Klez.c[AVP]

处理时间：2001-10-26

威胁级别：★★★★

中文名称：求职信

病毒类型：Win32病毒

影响系统：Win9x / WinNT

病毒行为:

这是一个广泛传播的混合型蠕虫病毒，主要通过邮件和网络共享传播，危害极大。

1.首先将自己要用到的字符串解码。

2.启动一个线程不停的查询内存中的进程.检查是否有一些杀毒软件存在（如AVP/NAV/NOD/Macfee等）。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次，以至于这些杀毒软件无法运行。

3.接着病毒启动另一个线程，用来创建一个名为WQK.EXE的文件运行.拷贝到的目录。然后将自身复制到的目录。

4.然后修改注册表，使自己的每次系统启动都自动运行。

5.将自己注册为系统的服务进程。

6.启动一个线程用于发送邮件，病毒再次利用Nimda病毒利用的Iframe ExecCommand漏洞，使没有打IE补丁的用户收到邮件后会自动运行。病毒会随机选取以下语句作为邮件主题：

Hi

Hello

How are you?

Can you help me?

We want peace

Where will you go?

Congratulations!!!

Don’t Cry

Look at the pretty

Some advice on your shortcoming

Free XXX Pictures

A free hot porn site

Why don’t you reply to me?

How about have dinner with me together?

Never kiss a stranger

邮件正文部分为空，但编码中有一段注释：

I’m sorry to do so,but it’s helpless to say sorry.

I want a good job,I must support my parents.

Now you have seen my technical capabilities.

How much my year-salary now? NO more than ,500.

What do you think of this fact?

Don’t call my names,I have no hostility.

Can you help me?

基于该病毒的这个信息，金山毒霸命名为wantjob病毒，全称为：Worm.wantjob.57345。

7.启动感染网上邻居的线程。该线程发现可写的共享目录时，会随机生成一个文件名，并将病毒自身进行加密，用该文件名将病毒复制过去。然后Sleep8小时再感染一次。文件的长度会有60168.60169等的变化。文件名的生成规则：

第一部分随机生成的名字为字母或数字，最后补一个“。”，

第二部分在Htm.Doc.Jpg.Bmp.Xls.Cpp.Html.Mpg.Mpeg中选择一个。

第三部分补上exe作为扩展名。

8.启动26个线程，遍历硬盘.网络盘一遍找满足扩展名需求的文件，这个文件名将用于邮件发送

9.进入一个循环，检查本地的时间，如果时间为1月13日，则马上启动26个破坏线程，该线程查找硬盘上的所有文件，并用内存中的数据覆盖硬盘上的文件。