Worm.Klez.a

病毒别名：I-Worm.Klez.a[AVP]

处理时间：

威胁级别：★★

中文名称：求职信变种

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是一个带有破坏文件性质的蠕虫病毒。它将释放一个文件感染型病毒，在特定的时间里感染用户的磁盘数据。它将通过局域网文件共享，网

络文件共享以及电子邮件进行传播。它利用了Microsoft Outlook或者Outlook Express的漏洞，使得用户在打开甚至是仅仅预览携带有该病毒

的电子邮件时，自动运行附件里的病毒，从而感染该病毒。该病毒还在某些月份中的13号将用户本地磁盘、映射磁盘以及网络磁盘上的文件破

坏，并将文件大小置为0。

这是一个带有破坏文件性质的蠕虫病毒。它将释放一个文件感染型病毒，在特定的时间里感染用户的磁盘数据。它将通过局域网文件共享，网

络文件共享以及电子邮件进行传播。它利用了Microsoft Outlook或者Outlook Express的漏洞，使得用户在打开甚至是仅仅预览携带有该病毒

的电子邮件时，自动运行附件里的病毒，从而感染该病毒。该病毒还在某些月份中的13号将用户本地磁盘、映射磁盘以及网络磁盘上的文件破

坏，并将文件大小置为0。

9.技术细节:

1.将自己复制为%System32%Krnl132.exe，并且释放文件%System32%Wqk.dll，该文件为文件感染型病毒W32.ElKern.3326。

2.修改注册表：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows

"AppInit_DLLs"="Wqk.dll"

可能添加表项：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

"krn132"="%System%krn132.exe"

3.尝试禁止病毒扫描器，然后查找本地磁盘，映射磁盘和网络磁盘，如果找到就尝试将自己以随机文件名复制到其中，文件名是多重扩展名，

比如Filename.txt.exe，伪装成文本文件等非可执行程序，以迷惑用户去打开它。

4.搜索Microsoft Outlook的地址薄里面的电子邮件地址，然后将自己以邮件附件的形式发送出去。

使用的邮件主题可能为下面主题之一：

How are you?

Can you help me?

We want peace

Where will you go?

Congratulations!!!

Don't cry

Look at the pretty

Some advice on your shortcoming

Free XXX Pictures

A free hot porn site

Why don't you reply to me?

How about have dinner with me together?

Never kiss a stranger

附件名是一个以.exe为结尾的随机文件名：

附件信息为（可能看不见，与客户段显示HTML邮件的方式有关）:

I'm sorry to do so,but it's helpless to say sorry.

I want a good job,I must support my parents.

Now you have seen my technical capabilities.

How much my year-salary now? NO more than $5,500.

What do you think of this fact?

Don't call my names,I have no hostility.

Can you help me?

由于MS01-020漏洞（详情参见http://www.microsoft.com/technet/security/bulletin/MS01-020.asp），如果用户是用Microsoft Outlook或

者Outlook Express收到这种邮件的话，邮件的附件将会自动执行。

5.在每年的2月，3月，4月，5月, 7月, 9月以及11月的13号，它将使本地磁盘，映射磁盘和网络磁盘上的文件大小都变为0。