“求職信”病毒

“求職信”病毒會利用MS Outlook或Outlook Express的漏洞，當用戶打開或預覽帶毒的電子郵件時，病毒就會自動運行。

“求職信”病毒

病毒被運行後會在本地計算機上生成帶毒檔案（大約80kb）和一個名為（W32.Elkern.3587）的病毒，同時會中止一些常見的反病毒軟體的運行，並刪除這些反病毒軟體的病毒資料庫。

該病毒感染Windows NT/2000系統計算機，即把自己註冊為系統服務進程，反病毒軟體很難清除。它還不停地向外傳送郵件，偽裝成（Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg）類型檔案中的一種，檔案名稱也是隨機產生的。

當計算機時間為每年單月13日時，該病毒將會自動搜尋硬碟，用記憶體中的隨機數據覆蓋硬碟上的所有檔案。

“求職信”病毒基本分為兩部分：一部分是狹義上的病毒，它感染PE結構檔案，病毒大小約為3K，用彙編語言編寫；第二部分是蠕蟲大小為56K，它在運行中會釋放並運行一個11722位元組的帶毒的PE檔案。第二部分是用VC++編寫的，它只可以在WINDOWS9X或WINDOWS2000上運行，在NT4上無法運行。

一、解密後面的代碼長度258H位元組

二、然後病毒在記憶體中查找KERNEL32模組，並根據名字的檢驗字找到一大批函式入口，這些函式供後面的代碼調用。

三、申請記憶體，將所有代碼拷貝到申請的記憶體

中，並轉申請的記憶體執行。

四、查檢有無調試程式（調IsDebugPresent函式），如在調試程式下運行，終止病毒代碼，返回到原宿主程式（如果是配套的木馬，則返回到作業系統）。

五、啟動感染代碼，如未在調試程式下運行，在SYSTEM（由GetSystemDirectory）目錄感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。

六、將當前進程註冊為服務進程。

七、創建感染執行緒，根據系統時間，如果為13號且為3月或9月，感染所有硬碟或網路盤檔案。否則感染系統目錄。某些條件下創始的感染執行緒會啟動另一個感染執行緒，直到系統崩潰。

八、如果是NT作業系統，同時感染所有網路鄰居。

九、返回宿主或作業系統。

一、解碼所有字元串。

二、改變當前進程訪問許可權。

三、啟動執行緒1，執行緒1的作用如下：
檢查當前所有進程，如果有以下進程（部分匹配），則終止這些進程：
_AVP32,_AVPCC,_AVPPM,ALERTSVC,AMON
AVP32,AVPCC,AVPM,N32SCANW,NAVAPSVC,
NAVAPW32,NAVLU32,NAVRUNR,NAVW32,NAVWNT,
NDD32,NPSSVC,NRESQ32,NSCHED32,NSCHEDNT,
NSPLUGIN,SCAN,SMSS
如果是WINDOWS9X系統，將當前程式設為自啟動（Software\Microsoft\Windows\CurrentVersion\Run）執行緒永不終止。

四、啟動執行緒2，作用是複製自己，運行後刪除，然後執行緒終止。

五、在系統目錄中創建KRNL32.EXE，如果是9X，運行它，並將它放入Software\Microsoft\Windows\CurrentVersion\Run中自動運行。如果是2000系統，將它作為Service啟動。

六、創建執行緒3，傳送EMAIL。
創建執行緒4，感染網路所有已分享檔案，每8小時搜尋一次。
創建執行緒5，搜尋磁碟檔案。
創建執行緒6，檢查當前日期是否為奇數月的13號，如是，將所有檔案複製一次，執行緒5小時運行一次，永不退出。

不會感染作業系統保護的檔案，以防止系統提示用戶。打開進程通過（explorer）進程進行感染，導致其它進程運行錯誤。病毒利用檔案系統進行感染，此病毒創建名為（WQK）的命名記憶體映象，並將病毒體置於其中，用於進程感染。

該病毒的英文標題通常是以下幾種情況：

Hi
Hello
Howareyou?
Canyouhelpme?
Wewantpeace.
Wherewillyougo?
Congratulations!!!
Don'tcry.
Lookatthepretty.
Someadviceonyourshortcoming.
FreeXXXPictures.
Afreehotpornsite.
Whydon'treplytome?
Howabouthavedinnerwithmetogether?

信的正文為：
I'msorrytodoso,butit'shelplesstosaysorry.
Iwantagoodjob,Imustsupportmyparents.
Nowyouhaveseenmytechnicalcapabilities.
Howmuchmyyear-salarynow?NOmorethan$5,500.
Whatdoyouthinkofthisfact?..Don'tcallmynames,Ihavenohostility.
Canyouhelpme?

該病毒中文版的郵件標題包括以下幾種：

“我喜歡你！”、“您好”、“恭喜！”、“節日快樂”、“你中獎了”、“你的朋友”、“同學聚會”、“祝你生日快樂”、“你的朋友給你寄來的賀卡”等。

郵件正文包括以下幾種：

“just for my father !”、“我是程式設計師”，“我需要一份工作！”、“我需要一份工作！”、“我喜歡你！”、“你的朋友”、“同學聚會”、“我要逃離大學”等。

加密保存用戶檔案，造成用戶程式使用不正常。影響了（EXPLORER）等進程的正常工作，導致用戶使用中經常出現非法操作。亂髮郵件加重郵件系統負荷。

此病毒的傳播途徑有通過郵件附屬檔案，網路鄰居或者映射的網路驅動器。

此病毒與Nimda病毒同樣利用Iframe ExecCommand漏洞，使沒有打IE補丁的用戶收到郵件後會自動運行，病毒具有非常強的傳播性。

第一種：通過INTERNET郵件，它搜尋當前用戶的地址簿檔案中的類郵件地址的文本內容，或隨機計算郵件地址，通過WINDOWS的SOCKET函式集用SMTP伺服器傳送自己這個帶毒木馬，郵件檔案是由木馬部分形成，並且該郵件會在OUTLOOKEXPRESS下自動執行，它的主題是隨機的。

第二種：通過網路鄰居，它搜尋所有的網路連線，查找已分享資料夾，將自己的檔案放到享目錄中，並試圖讓遠程計算機將它作為一個服務啟動。通過區域網路傳播帶毒檔案一般都是雙重後綴名。

第三種：通過磁碟傳播，它創建專門的執行緒感染磁碟，如果當前日期奇數月的13號，將找到的檔案內容進行複製。

第四種：病毒感染。

感染“求職信”病毒後，機器速度變慢，系統資源明顯減少，硬碟可用空間急劇減少。

因為病毒占用大量的系統資源，會使得計算機變慢，經常出現“沒有足夠記憶體運行......程式……”錯誤提示 。還可能將一些檔案大小置零（相當於刪除檔案不可恢復）或者用病毒碼覆蓋檔案，而縣被破壞的檔案不可恢復。

2002年4月求職信病毒變種 （WORM_KLEZ.G）的新病毒，利用電子郵件方式，正迅速在全球各地擴散。尤以亞洲地區最為嚴重，日本、台灣等地約有數萬台計算機陷入癱瘓。

求職信病毒變種

”求職信” （TROJ_KLE.Z或PE_ELKERN）病毒於2001年10月底出現，該病毒具有計算機蠕蟲的特性，造成全球災情嚴重！

該變種病毒不同於以往病毒攻擊方式，以往病毒是通過e-mail傳播並且執行e-mail附屬檔案才會感染，該變種病毒攻擊手法惡劣，用戶只要預覽此病毒信件，不執行任何附加檔案，就已經受到病毒感染。用戶一旦中毒，病毒便會大量寄發郵件給通訊簿中的人，造成伺服器的負荷。

Worm.Klez.L是種蠕蟲病毒，病毒體內包含大量加密字元串。由於此病毒能提升自身的運行級別，使得一般程式無法結束或訪問它的進程，包括Windows自帶的任務管理器。因此無法手工清除此病毒。

Worm.Klez.L的最大特點在於其抑制防毒軟體的能力大為提高，甚至包括一些著名病毒（它的早期版本），只要是阻礙Worm.Klez.L傳播的軟體它都不放過。它通過註冊表和記憶體兩方面破壞這些軟體。

在系統目錄下檢查是否包含wqk.exe和Krn132.exe兩個檔案，如有則可判定感染病毒。

運行Regedit，展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\，檢查其中是否包含WINDOWS\SYSTEM\KRN132.EXE和WINDOWS\SYSTEM\WQK.EXE，有則可判定感染病毒。

切斷網路，禁止網路共享或給網路已分享資料夾加上口令。

下載系統的補丁或將IE和Outlook升級。

防毒軟體升級。臨時修改系統日期，重新啟動計算機進入安全模式，直接運行clrav.com進行自動查殺病毒。