求职信最新变种KLEZ.K

病毒名称：Klez.k病毒，自称Klez.e(由于有其它人修改此病毒导致总版本高于病毒作者自己的命名)。

病毒类型：复合型病毒，包含两个部分，随着邮件传播的蠕虫病毒Klez和此蠕虫释放出来的Foroux病毒。

病毒传播目的：释放病毒作者新完成的Foroux病毒。

此次由瑞星公司未知邮件系统首先截获的Klez.k病毒自称Klez.e，由于又有其他人又修改了此病毒，因而

总版本高于病毒作者自己的命名。

klez.k病毒是一个复合型病毒，包含两个部分：随邮件传播的蠕虫病毒Klez和由此蠕虫释放出来的Foroux

病毒。此次病毒传播的主要目的就是释放病毒作者新完成的Foroux病毒。

此次最新发现的Klez.k病毒和以往版本的“求职信”病毒类似，启动了7个线程，其作用主要如下：

1.外发邮件；

2.修改注册表；

3.搜索本地文件；

4.搜索网络邻居。

通过邮件传播，这个Klez.k“求职信”病毒的信件主题可能为以下几组内容的组合（%s用于互相组合）：

Hi,Hello,Re:Fw:Undeliverable mail--"%s",Returned mail--"%s"

a %s %s game.a%s %s tool.a %s%s website.a %s%s patch.%s removal tools new.funny.nice.humour.

excite.good.powful.WinXP.IE 6.0.W32.Elkern How are you.Let's be friends.Darling.So cool a flash,

enjoy it.Your password.Honey.some questions.Please try again.Welcome to my hometown.The Garden

of Eden.Introduction on ADSL.Meeting notice.

Questionnaire.Congratulations.Sos!.Japanese girlVS playboy.Look,my beautiful girl friend.Eager

to see you.Spicegirls' vocal concert.Japanese lass' sexy pictures

邮件附件的虚假扩展名可能为以下之一：

txt htm html wab doc xls jpg cpp c pas mpg mpeg bak mp3

真实扩展名为以下之一：EXE SCR PIF BAT

病毒体内有以下加密信息：

Win32 KlezV2.01 & Win32 Foroux V1.0..Copyright 2002,made in Asia..About Klez V2.01

1,Main mission is to release the new baby PE virus,Win32 Foroux

2,No significant change.No bug fixed.No any payload About Win32Foroux (plz keep the name,thanx)

1,Full compatible Win32 PE virus on Win9X/2K/NT/XP

2,With very interestingfeature.Check it!

3,No any payload.No any optimization

4,Not bug free,because of a hurry work.No more than three weeks fromhaving such idea to accompl

-ishing coding and testing

病毒体内还有一段html格式的信息，如下：

Worm Klez.E immunity.Klez.E is the most common world-wide spreading worm.

It'svery dangerous by corrupting your files.

Because of its very smart stealth and anti-anti-virus technic,most common AV software can't

detect or clean it.

We developedthis free immunity tool to defeat the maliciousvirus.

Youonly need to run this tool once,and then Klez will never come into your PC.

NOTE: Because this tool acts as a fake Klez tofool the real worm,some AV monitor maybe cry when

you run it.

If so,Ignorethe warning,andselect 'continue'.

If you have any question,please mailto me

Klez释放出的Foroux病毒，大小为10240字节，可能用汇编语言在windows2000下编写的。此病毒进行了简

单但多次的加密和变形，以阻止静态和动态分析。

病毒会搜索kernel32.dll以获得以下函数的入口地址：

SetEndOfFile,SetFilePointer,CreateFileA,GetFileAttributesA,SetFileAttributesA,FindCloseChenge,

GetFileTime,SetFileTime,GetFileSize,CreateFileMappingA,MapViewFille,UmapViewFile,OpenFileMappingA,

VirtualProtectEx,ReadProceseeeMemory,WriteProcessMemory,OpenProcess,FindFirstFileA,FindNextFileA,

FindClose,LoadLibraryA,CreateThread,MultiByteToWideChar,Sleep,lstrcmpiA,GetModuleFileName,

GetDirverTypeA,GetTickCount,GetVersion,CreatToolhelp32Snapshot,Process32First,Process32Next

此病毒的隐蔽性表现在：

1、不会感染操作系统保护的文件，以防止系统提示用户。

2、遍历进程，并打开EXPLORER进程进行感染，但由于程序的问题，经常导致EXPLORER和其它进程运行错误。

3、此病毒遍历文件系统，试图进行感染。

4、此病毒会创建名为WQK的命名内存映象，并将病毒体置于其中，用于进程间感染。

此病毒的破坏性表现在：

1、加密保存用户文件，造成用户程序使用不正常。

2、影响了EXPLORER等进程的正常工组，导致用户使用中经常出现非法操作。

3、乱发邮件加重邮件系统负荷。

4、搜索网络导致占用网络资源。

此病毒的传播途径有：

1、通过邮件附件

2、网络邻居或者映射的网络驱动器

• ·市场经济教程（第二版）
• ·对象指针
• ·纠葛
• ·栅鱼
• ·求职信病毒
• ·浙江金融职业学院
• ·求职信新变种W32.Klez.H@mm
• ·“求职信L版”病毒
• ·卡通一代
• ·小窗格苔藓虫