Worm.Klez.L
求职信变种Worm.Klez.L病毒分析资料
知识库编号:RSV0512269
内容分类:蠕虫病毒
关键词:求职信
适用操作系统:Windows 操作系统
适用操作系统补丁版本:全部补丁适用
求职信变种Worm.Klez.L病毒分析资料。
Worm.Klez.L是一种蠕虫病毒,病毒体内包含大量加密字符串。由于此病毒能提升自身的运行级别,使得一般程序无法结束或访问它的进程,包括Windows自带的任务管理器。因此无法手工清除此病毒。
病毒在得到运行后,首先提升自身的运行级别,然后将自己复制到Windows系统目录下,文件名总以Wink开头,同时还会放出一个小病毒体(Win32.Foroux.exe),最后分别运行它们并退出。当病毒被自己再次运行时,它会发现自身已处于系统目录下,此时病毒运行线路发生改变,它不再复制自身,而是创建7个病毒线程,并以系统服务的形式驻留内存。病毒的7个线程分别完成以下任务。
(1) 遍历所有进程,杀掉对它有威胁的进程。稍后再作详细介绍。
(2) 在本地硬盘搜索一些著名杀毒软件的数据文件,发现后立即后删除,导致它们无法运行。
(3) 感染注册表中某些已登记安装了的软件,例如Explorer,WinZip,WinRAR,OutLook等,因为这些软件比较常用,可保证病毒被激活。
(4) 搜索网络邻居中的可写文件夹,并将病毒体复制到其中,以便扩大传染面积。
(5) 通过自带的SMTP客户端程序向用户地址簿的地址发送带毒邮件。邮件标题多为吸引人的标题。例如Christmas , Hope等。此邮件在老版本系统上会自动执行附件。
(6) 将小病毒体释放到Program File目录中,文件名随机,并启动此小型病毒体(Win32 Foroux).病毒Win32 Foroux是个典型的文件型病毒,启动后即开始全盘感染可执行文件。由于病毒会识别受Win2K,WinXP的系统认证保护的文件,所以在病毒感染系统目录时,不会引起警报对话框。
(7) 在Windows的Internet临时文件夹中搜寻对它有威胁的文件,找到后立即删除。从而阻止用户上网升级或下载对付它的程序。
病毒新增特点
Worm.Klez.L的最大特点在于其抑制杀毒软件的能力大为提高,甚至包括一些著名病毒(它的早期版本),只要是阻碍Worm.Klez.L传播的软件它都不放过。它通过注册表和内存两方面破坏这些软件。
在启动时,它会遍历应用程序登记的安装路径。只要发现含有以下字符串,立刻删除所对应的键值。
_AVP32 _AVPCC NOD32 NPSSVC NRESQ32 NSCHED32
NSCHEDNT? NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32
NAVRUNR? NAVW32 _AVPM? ALERTSVC AMON AVP32
AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD
AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95
ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98
AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95
CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton
Mcafee Antivir TASKMGR
这些字符串几乎覆盖了世界上所有的杀毒软件。
当病毒驻留内存后,病毒体内的一个线程不停地搜寻其他进程,只要在其一个模块中搜到以下一个字符串,立刻结束其运行。
Nimda(尼姆达) CodeRed(红色代码) WQKMM3878(Klez) GRIEF3878
Fun Loving Criminal Norton(诺顿) Mcafee Antivir
Avconsol F-STOPW F-Secure Sophos
Virus(最常见) AVP Monitor (AVP) AVP Updates(AVP) InoculateIT
PC-cillin(趋势) Symantec(诺顿) Trend Micro(趋势) F-PROT
NOD32
更可恶的是Worm.Klez.L还把此进程所对应的程序文件也给删除了。 由于杀毒软件和某些工具的代码块或数据块中常包含此类字符串。并且病毒每次轮询的间隔只有64毫秒(加上搜索的时间也不过几秒)。在它之后启动的杀毒软件在点杀毒按钮前就已被干掉。以至于无法带毒杀毒。
有趣的是病毒作者在其病毒体内还特意留下了一大段吹嘘自己病毒的语句:
Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.Because of its very smart stealth and anti-anti-virus technic most common AV software can't detect or clean it.We developed this free immunity tool to defeat the malicious virus.You only need to run this tool once,and then Klez will never come into your PC.NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.If so,Ignore the warning,and select 'continue'If you have any question,please mail to me.
Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in AsiaAbout Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks
from having such idea to accomplishing coding and test
中文翻译如下:
Klez.E是最常见的全球性传播蠕虫。因其在隐秘和反反病毒技术方面的高度智能,使得它在破坏你的文件时十分危险。绝大部分的反病毒软件不能够发现或者清除它。我们开发这种免费的免疫工具用以对抗恶性病毒。你只需要运行一次这种工具,Klez就再也不会进入你的个人电脑。
注意:因为这个工具以虚拟一个Klez的方式来欺骗真正的蠕虫,所以一些反病毒实时监控可能会在您运行它时发出警报。如果这样,跳过这个警告,并选择‘continue’。如果你仍有问题,请与我mail联系。
Win32 klez 2.01版和 Win32 Foroux 1.0版
Copyright 2002,made in Asia
关于Klez 2.01版
1、主要任务是发表一个新的子PE病毒:Win32 Foroux
2、没有重大变化,没有修改Bug,没有任何表现模块
关于Win32.Foroux
1、完全兼容于Win9X/2K/NT/XP等操作系统的Win32 PE病毒
2、没有任何表现模块,没有任何优化;
3、未释放Bug---是因为从有这个想法到完成编码及测试仅用了不超过3周时间就匆匆完成
作者虽然把Klez说成是个良性病毒,可以免疫其他病毒.但事实上它会删除你的文件,并且它所谓的免疫只是把带有Nimda,Sircam,CodeRed等字符串的进程杀死,这种方法根本无法阻止其它病毒的传染(就连这3种都不彻底)。
病毒的清除
1、使用求职信(Worm.Klez)病毒专杀工具。下载链接地址http://it.rising.com.cn/service/technology/RS_klez_download.htm
注意:该求职信专杀工具用于非瑞星产品用户针对计算机中求职信病毒的处理,瑞星2004版以后(含OEM版及下载版) 均已经针对该病毒提供了相应的处理功能, 请瑞星2004版之后的(含OEM版及下载版)用户使用瑞星杀毒软件升级后查杀该病毒,无需使用该工具。
2、瑞星杀毒软件14.05之后的版本可以查杀此病毒。