平特心水报图
新網絡營銷基礎與實踐

你的位置:首頁 >網絡營銷 >Worm.Klez病毒

Worm.Klez病毒

     這是一個通過INTERNET以及EMAIL附件傳播感染的蠕蟲類病毒。它本身是一個WINDOWS
PE格式的可執行程序,大約在57-65K之間(依他的版本而定),是用MICROSOFT VISUALC++編寫。

病毒信息  

被感染消息的題目與附件的名字是可變的,它利用了一個IE已知的安全漏洞(IFRAME
vulnerability),當一個已經被感染的消息打開時,他將自動啟動。它不僅在本地的網絡散布并且通過電子郵件消息傳播。它會在WINDOWS臨時文件夾下建立一個可執行文件,名字為以字母K開頭的隨意一個的名字( 如KB180.exe )然后把“ Win32.Klez
”病毒寫進去,并且啟動該病毒。這個病毒在所有可利用的計算機的磁盤上感染大部分的WIN32下的PE格式的可執行程序。

當一個已經感染的文件被啟動,這個WORM把自己的一個副本復制到WINDOWNS系統文件夾下,命名為“krn132.exe”,他會把如下鍵值寫入注冊表(如下)并且隨WINDOWNS一起啟動。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Krn132 = %System%\Krn132.exe

其中%System%是系統文件夾的名字

當這個病毒尋找到以下運行中的應用程序,他將使用"TerminateProcess" 命令強制卸載他們。

_AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC,
AVPM, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32,
NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS

傳播方式
用EMAIL進行傳播

病毒會使用SMTP協議發送EMAIL消息。他會在你的WAB數據庫中找到EMAIL地址,同時把含有病毒的消息發送給他們。

帶毒郵件的主題是從下面內容中隨機選出的:

Hello

How are you?

Can you help me?

We want peace

Where will you go?

Congratulations!!!

Don't cry

Look at the pretty

Some advice on your shortcoming

Free XXX Pictures

A free hot porn site

Why don't you reply to me?

How about have dinner with me together?

Never kiss a stranger

郵件正文如下:

I'm sorry to do so,but it's helpless to say sory. I
want a good job,I must support my parents. Now you have seen my technical
capabilities. How much my year-salary now? NO more than $5,500. What do you
think of this fact? Don't call my names,I have no hostility. Can you help me?

郵件的附件是隨意名字的WIN32下的PE格式可執行文件,他用.EXE的擴展名,或雙擴展名(如:name.ext.exe)

它在所有可利用的驅動器中掃描以下擴展名的文件:

.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg

它用所找到的文件其中的一個作為附件的主文件名,然后把它加上第二個文件擴展名".exe",例如:"Ylhq.htm.exe",
"If.xls.exe",等等

它會向感染消息中插入一個“FROM”地址,該地址可能是隨機產生,或者是一個真實的EMAIL地址。

這個蠕蟲有一個非常有趣的特點:在這個被感染消息發送以前,把找到的EMAIL列表寫入到它本身的可執行程序中。

病毒體內的所有字符串(消息與地址)都是以加密狀態進行存儲。
在本地驅動器與網絡驅動器之間傳播

病毒會WORM枚舉所有具有寫權限的本地驅動器與網絡驅動器,復制一個隨機命名的副本到找到的本地驅動器與網絡驅動器,(隨機命名的方式與附件命名的方式相似)然后病毒把自己作為系統服務應用程序注冊到遠程機器上。

這個蠕蟲在偶數月份的13日發作,它把染毒計算機磁盤上所有的文件用隨機內容進行填充。除非文件有備份,否則這些被病毒破壞的文件是無法恢復的。

網絡營銷詞典內容均由網友提供,僅供參考。

平特心水报图 幸运飞艇看单双技巧 11选5稳赚技巧任7杀号 北京pk拾计划预测 快乐时时是国家 美国本土nba投注比例 双色球开奖结果今天 北京pk10技巧视频直播 东京15分彩计划二期 3d打一个胆多少钱 软件协议书范本