“求职信”网络蠕虫病毒解决方案

“求职信”网络蠕虫病毒解决方案

《人民网》2001年10月29日 - 16:31

　　国家计算机病毒应急处理中心成员单位，北京江民新科技术有限公司病毒快速反应小组率先捕获了一种新的网络蠕虫病毒，其英文名为：I－WORM.Kiez，中文名由国家计算机病毒应急处理中心建议为：“求职信”病毒。

　　江民公司提醒广大用户，该病毒传染能力极强，请加强防范，立即升级KV3000反病毒软件。

　　该病毒特性如下：

　　病毒传染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000。

　　邮件部分和Nimda/Sircam非常相似，它用WAB文件来获取EMail地址，使用内在的SMTP引擎来发送EMail。邮件内容是HTML，Klez用IFRAME漏洞在受害者的电脑上来执行自己，而不需要用户运行附件。

　　I－WORM.Kiez蠕虫，通过从下面列表中随机选择一个标题的EMail来传播自己:

　　"Hi"

　　"Hello"

　　"How are you?"

　　"Can you help me?"

　　"We want peace"

　　"Where will you go?"

　　"Congratulations!!!"

　　"Don't cry"

　　"Look at the pretty"

　　"Some advice on your shortcoming"

　　"Free XXX Pictures"

　　"A free hot porn site"

　　"Why don't you reply to me?"

　　"How about have dinner with me together?"

　　"Never kiss a stranger"

　　附件中的文件名是随机的，发送地址是任意的大写字母加上yahoo.com或hotmail.com或sina.com或其他在病毒列表中的任意一个。

　　信件内容如下：

　　"I'm sorry to do so,but it's helpless to say sorry.

　　I want a good job,I must support my parents.

　　Now you have seen my technical capabilities

　　How much my year-salary now? NO more than $5,500

　　What do you think of this fact?

　　Don't call my names,I have no hostility

　　Can you help me?"

　　蠕虫试图使用某些版本的OutLook、OutLook Express、Internet Explorer的一个MIME漏洞来获取自动运行，而不需要用户双击附件。

　　蠕虫将自身拷贝到远程共享的机器上，文件是随机的。它也将自己拷贝到Windows系统目录中，文件名是krn132.exe, 并释放病毒程序WQK.EXE。蠕虫设置注册键值

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run\krn132指向自己存放的位置。

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WQK指向自己存放的位置。

　　该蠕虫在系统启动项中增加了两项：

　　WINDOWS\SYSTEM\KRN132.EXE

　　WINDOWS\SYSTEM\WQK.EXE

　　这样，系统启动时病毒就被运行。在患毒的机器中，病毒企图自动拨号上网传播。

　　当运行时，它首先解密所有需要复制的字符串。为了防止被怀疑，所有的字符串都简单地加密了。然后，它会初始化复制所需要的Socket库。然后，依赖操作系统，它会任意地尝试注册可执行的服务或隐藏的进程。再这以后，Klez将试图杀死内存中的反病毒程序。另外一个线程会释放并运行一个携带的病毒--Win32/ElKern，病毒将会在感染的计算机上繁殖。

　　蠕虫拷贝自己到系统目录，名字时krn132.exe。为了保证蠕虫能在下次启动的时候运行，会将自身注册到启动的注册表项。

　　然后，Klez将创建2个传播线程。一个是EMail传播，另外一个是局域网传播。在这点，Klez也将创建26个线程，每一个线程对应一个驱动器，他们会查找下列后缀的文件。"txt", "htm", "doc", "jpg", "bmp", "xls", "cpp", "html", "mpg" 和 "mpeg".

　　如果日期是每个月的13号，Klez将调用它的发作部分。它将搜索每一个硬盘或映射盘从A到Z并毁掉所有的文件，很难恢复。日期的检查10分钟完成。

　　局域网传播线程每8小时激活一次，它将搜索局域网中所有的远程共享，并创建双扩展名的文件，如.doc.exe、.xls.exe，第一个扩展名是随机的，而第2个扩展名总是.exe。而且它会试图使用服务控制管理器远程执行这些文件。

　　病毒的清除：

　　1 如果用户的硬盘分区是WINDOWS NI4、WINDOWS 2000、WINDOWS XP的NTFS格式，请用户安装KVW3000 5.0以上版本，该版本可在任何WINDOWS系统下杀除内存和被WINDOWS已经调用的染毒文件，可在系统染毒的情况下杀除病毒，目前只有KVW3000真正具备内存杀毒和毒中杀毒这一技术。

　　方法是：双击桌面上KVW3000的快捷图标，调出菜单即可。

　　2 如果用户硬盘装的系统是WINDOWS 98 以下，也可使用干净DOS软盘启动机器；

　　3 执行KV3000.EXE或KVD3000, 查杀所有硬盘中的病毒。

　　4 修改注册表项:

　　a 在WINDOWS“开始”栏内，运行REGEDIT，

　　b 删除：

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

　　删除其中的名称为WINDOWS\SYSTEM\KRN132.EXE的键值

　　删除其中的名称为WINDOWS\SYSTEM\WQK.EXE的键值

　　5 修改系统启动项:

　　a 在WINDOWS“开始”栏内，运行MSCONFIG，

　　去掉其中的名称为WINDOWS\SYSTEM\KRN132.EXE的勾值

　　去掉其中的名称为WINDOWS\SYSTEM\WQK.EXE的勾值

　　6 为了预防该病毒在浏览该带毒信笺可以自动执行的特点，必须下载微软的补丁程序。地址是：

　　http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

　　这样可以预防此类病毒的破坏。

　　7、WINDOWS 2000如果不需要可执行的CGI，可以删除可执行虚拟目录,例如 /scripts等等。

　　8、如果确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区

　　9 开启KVW3000实时监测病毒防火墙。 10、再将邮箱中的带毒邮件一一删除，否则又会重复感染。

　　该病毒传播能力极强，必须加强防范。

　　广大电脑用户可在江民公司的网站上下载最新版本的KV3000系列可防杀该病毒。

　　其网址：http://www.jiangmin.com