computer 版 (精华区)

发信人: neverbw (汇编汇编我爱你！), 信区: network
标  题: 高度危害的“求职信”病毒详细介绍
发信站: 听涛站 (2001年11月01日12:35:07 星期四), 站内信件

据金山毒霸消息，尼姆达余威未尽，新秀即刻杀到！10月26日下午，金山公司反病毒应
急处理中心截获一例高度危害的恶性蠕虫病毒wantjob（“求职信”病毒）。此病毒已在
国外迅速蔓延，很快将传至国内，危害之大与尼姆达相比有过之而无不及。据金山反病
毒应急处理中心的技术人员分析，该病毒利用的同是Iframe ExecCommand漏洞，但与尼
姆达相比，除了有其共有的危害性外，它还能够完全覆盖文件。
对“求职信”病毒的技术分析：
　　病毒名称：Worm.wantjob.57345
　　危害性：高
　　病毒运行的过程：
　　1、 首先将自己要用到的字符串解码。
　　2、 启动一个线程不停的查询内存中的进程、检查是否有一些杀毒软件存在（如AV
P/NAV/NOD/Macfee等）。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进
程一次，以至于这些杀毒软件无法运行。
　　3、 接着病毒启动另一个线程，用来创建一个名为WQK.EXE的文件运行、拷贝到的目
录。然后将自身复制到的目录。
　　4、 然后修改注册表，使自己的每次系统启动都自动运行。
　　5、 将自己注册为系统的服务进程。
　　6、 启动一个线程用于发送邮件，病毒再次利用Nimda病毒利用的Iframe ExecComm
and漏洞，使没有打IE补丁的用户收到邮件后会自动运行。病毒会随机选取以下语句作为
邮件主题：
Hi
　　Hello
　　How are you?
　　Can you help me?
　　We want peace
　　Where will you go?
　　Congratulations!!!
　　Don’t Cry
　　Look at the pretty
　　Some advice on your shortcoming
　　Free XXX Pictures
　　A free hot porn site
　　Why don’t you reply to me?
　　How about have dinner with me together?
　　Never kiss a stranger
　　邮件体为空，但编码中有一段注释：
　　I’m sorry to do so,but it’s helpless to say sorry.
　　I want a good job,I must support my parents.
　　Now you have seen my technical capabilities.
　　How much my year-salary now? NO more than $5,500.
　　What do you think of this fact?
　　Don’t call my names,I have no hostility.
　　Can you help me?
　　基于该病毒的这个信息，金山毒霸命名为wantjob病毒，全称为：Worm.wantjob.57
345。
7、 启动感染网上邻居的线程。该线程发现可写的共享目录时，会随机生成一个文件名
，并将病毒自身进行加密，用该文件名将病毒复制过去。然后Sleep8小时再感染一次。
文件的长度会有60168、60169等的变化。文件名的生成规则：
　　第一部分随机生成的名字为字母或数字，最后补一个“。”，
　　第二部分在Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg中选择一个。
　　第三部分补上exe作为扩展名。
　　8、 启动26个线程，遍历硬盘、网络盘一遍找满足扩展名需求的文件，这个文件名
将用于邮件发送
　　9、 进入一个循环，检查本地的时间，如果时间为1月13日，则马上启动26个破坏线
程，该线程查找硬盘上的所有文件，并用内存中的数据覆盖硬盘上的文件。
恶性病毒"求职信"的四大显著特点
　　一、IframExecCommand漏洞
　　和HappyTime，Nimda两大病毒原理一样，利用微软的Iframe ExecCommand漏洞，使
IE没有打补丁的用户会自动运行该病毒，即使没有点击，浏览、预览也会中招。正因为
这一点，HappyTime与Nimda才得以广泛流传，与此同时因为HappyTime与Nimda的发作，
没有打补丁的IE用户减少，从这一方面也可以说是减少了"求职信"病毒的发作机率。
　　二、可以远程启动
　　与Nimda病毒一样大量传染局域网，但比Nimda更高明的是，在部分条件下可以远程
启动，是这个病毒一大特征，也是独具特色的一大危害点。
　　三、大量消耗系统资源
　　在计算机中毒后，"求职信"病毒会不断遍历磁盘，分配内存，导致系统资源很快被
消耗殆尽。根据这一特点可以轻易的判断出计算机中了"求职信"病毒。最明显的特点是
计算机速度变慢，硬盘有高速转动的震动声，硬盘空间减少。
　　四、双程序结构
　　双程序结构，一个负责远程传播（包括Email传播和局域网传播），另外一个负责本
地传染传播；这种结构也是原来的病毒从来没有的特征，用来加强该病毒的传播性。
金山毒霸最新升级包已能查杀这一新出现的恶性病毒，请注意升级到最新升级包版本(1
0.27)。金山公司将会提供免费的专杀工具，以使非金山毒霸的用户也可以查杀这一新病
毒，减少损失。

--
   
       欢迎访问   ftp://neverbw.dhs.org
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]