尼姆达余威未尽，新秀即刻杀到！10月26日下午，金山公司反病毒应急处理中心又率先截获一例高度危害的恶性蠕虫病毒wantjob（“求职信”病毒）。此病毒已在国外迅速蔓延，很快将传至国内，危害之大与尼姆达相比有过之而无不及。据金山反病毒应急处理中心的技术人员分析，该病毒利用的同是Iframe ExecCommand漏洞，但与尼姆达相比，除了有其共有的危害性外，它还能够完全覆盖文件。以下是对该病毒的技术分析：

　　病毒名称：Worm.wantjob.57345

　　危害性：高

　　病毒运行的过程：

　　1、 首先将自己要用到的字符串解码。

　　2、 启动一个线程不停的查询内存中的进程、检查是否有一些杀毒软件存在（如AVP/NAV/NOD/Macfee等）。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次，以至于这些杀毒软件无法运行。

　　3、 接着病毒启动另一个线程，用来创建一个名为WQK.EXE的文件运行、拷贝到<%WINDOWS%>的<%SYSTEM%>目录。然后将自身复制到<%WINDOWS%>的<%SYSTEM%>目录。

　　4、 然后修改注册表，使自己的每次系统启动都自动运行。

　　5、 将自己注册为系统的服务进程。

　　6、 启动一个线程用于发送邮件，病毒再次利用Nimda病毒利用的Iframe ExecCommand漏洞，使没有打IE补丁的用户收到邮件后会自动运行。病毒会随机选取以下语句作为邮件主题：

　　Hi

　　Hello

　　How are you?

　　Can you help me?

　　We want peace

　　Where will you go?

　　Congratulations!!!

　　Don’t Cry

　　Look at the pretty

　　Some advice on your shortcoming

　　Free XXX Pictures

　　A free hot porn site

　　Why don’t you reply to me?

　　How about have dinner with me together?

　　Never kiss a stranger

　　邮件体为空，但编码中有一段注释：

　　I’m sorry to do so,but it’s helpless to say sorry.

　　I want a good job,I must support my parents.

　　Now you have seen my technical capabilities.

　　How much my year-salary now? NO more than $5,500.

　　What do you think of this fact?

　　Don’t call my names,I have no hostility.

　　Can you help me?

　　基于该病毒的这个信息，金山毒霸命名为wantjob病毒，全称为：Worm.wantjob.57345。

　　7、 启动感染网上邻居的线程。该线程发现可写的共享目录时，会随机生成一个文件名，并将病毒自身进行加密，用该文件名将病毒复制过去。然后Sleep8小时再感染一次。文件的长度会有60168、60169等的变化。文件名的生成规则：

　　第一部分随机生成的名字为字母或数字，最后补一个“。”，

　　第二部分在Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg中选择一个。

　　第三部分补上exe作为扩展名。

　　8、 启动26个线程，遍历硬盘、网络盘一遍找满足扩展名需求的文件，这个文件名将用于邮件发送

　　9、 进入一个循环，检查本地的时间，如果时间为单月13日，则马上启动26个破坏线程，该线程查找硬盘上的所有文件，并用内存中的数据覆盖硬盘上的文件。