Worm.Klez.L是种蠕虫病毒,病毒体内包含大量加密字符串。由于此病毒能提升自身的运行级别,使得一般程序无法结束或访问它的进程,包括Windows自带的任务管理器。因此无法手工清除此病毒。
病毒在得到运行后,首先提升自身的运行级别,然后将自己复制到Windows系统目录下, 文件名总以Wink开头,同时还会放出一个小病毒体(Win32.Foroux.exe),最后分别运行它们并退出。当病毒被自己再次运行时,它会发现自身已处于系统目录下,此时病毒运行线路发生改变,它不再复制自身,而是创建7个病毒线程,并以系统服务的形式驻留内存。病毒的7个线程分别完成以下任务。
(1) 遍历所有进程,杀掉对它有威胁的进程。稍后再作详细介绍。
(2) 在本地硬盘搜索一些著名杀毒软件的数据文件,发现后立即后删除,导致它们无法运行。
(3) 感染注册表中某些已登记安装了的软件,例如Explorer,WinZip,WinRAR,OutLook等,因为这些软件比较常用,可保证病毒被激活。
(4) 搜索网络邻居中的可写文件夹,并将病毒体复制到其中,以便扩大传染面积。
(5) 通过自带的SMTP客户端程序向用户地址簿的地址发送带毒邮件。邮件标题多为吸引人的标题。例如Christmas , Hope等。此邮件在老版本系统上会自动执行附件。
(6) 将小病毒体释放到Program File目录中,文件名随机,并启动此小型病毒体(Win32 Foroux).病毒Win32 Foroux是个典型的文件型病毒,启动后即开始全盘感染可执行文件。由于病毒会识别受Win2K,WinXP的系统认证保护的文件,所以在病毒感染系统目录时,不会引起警报对话框。
(7) 在Windows的Internet临时文件夹中搜寻对它有威胁的文件,找到后立即删除。从而阻止用户上网升级或下载对付它的程序。
病毒新增特点:
Worm.Klez.L的最大特点在于其抑制杀毒软件的能力大为提高,甚至包括一些著名病毒(它的早期版本),只要是阻碍Worm.Klez.L传播的软件它都不放过。它通过注册表和内存两方面破坏这些软件。
在启动时,它会遍历应用程序登记的安装路径。只要发现含有以下字符串,立刻删除所对应的键值。
_AVP32 _AVPCC NOD32 NPSSVC NRESQ32 NSCHED32
NSCHEDNT NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32
NAVRUNR NAVW32 _AVPM ALERTSVC AMON AVP32
AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD
AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95
ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98
AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95
CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton
Mcafee Antivir TASKMGR
这些字符串几乎覆盖了世界上所有的杀毒软件。
当病毒驻留内存后,病毒体内的一个线程不停地搜寻其他进程,只要在其一个模块中搜到以下一个字符串,立刻结束其运行。
Nimda(尼姆达) CodeRed(红色代码) WQKMM3878(Klez) GRIEF3878
Fun Loving Criminal Norton(诺顿) Mcafee Antivir
Avconsol F-STOPW F-Secure Sophos
Virus(最常见) AVP Monitor (AVP) AVP Updates(AVP) InoculateIT
PC-cillin(趋势) Symantec(诺顿) Trend Micro(趋势) F-PROT
NOD32
更可恶的是Worm.Klez.L还把此进程所对应的程序文件也给删除了。 由于杀毒软件和某些工具的代码块或数据块中常包含此类字符串。并且病毒每次轮询的间隔只有64毫秒(加上搜索的时间也不过几秒)。在它之后启动的杀毒软件在点杀毒按钮前就已被干掉。以至于无法带毒杀毒。
1
2
下一页>>
