2001.10.26中午我收到一个网友的信，要我帮他分析一个新病毒。隐藏了硬盘的数据分区后我就运行了这个东西。开了几个监视程序，大略看了一下，好像只是个类似Sircam的蠕虫，只不过能注册为服务自动运行罢了，于是随便写了点东西贴到了几个安全论坛。今天早上一开机，我就发现硬盘总转个不停，但任务管理器里看不到异常。赶紧用md5校验一下系统，和原始数据一对，几乎所有可执行文件都改变了！参考了一些资料，仔细分析了一下，看来这东西危害很大，传播速度也不会慢，可能不久就会在我国大面积爆发。

　　--------------------------------------------------------------------------------

　　“求职信”病毒/蠕虫行为深入分析

　　描述：

　　 程序名称：Worm.wantjob.57345 “求职信”

　　 程序类型：病毒/蠕虫

　　 利用漏洞：MIME漏洞

　　 （http://www.microsoft.com/technet/security/bulletin/ms01-020.asp）

　　 病毒行为：自我复制，通过email传播，通过网络共享传播，感染可执行文件（包括屏保），破坏本地文件

　　 受影响的系统：所有32位Windows版本。

　　 详细描述（基于Win2K平台）：

　　 该程序具有罕见的双程序结构，分为蠕虫部分（网络传播）和病毒部分（感染文件，破坏文件）。两者在代码上是独立的两部分，可能也是分开编写的。两者的结合方式非常有趣，作者先是写好蠕虫部分，然后将病毒部分的二进制码在特定位置加进蠕虫部分，得到最终的病毒/蠕虫程序。

　　 完整的wantjob第一次运行时只执行蠕虫部分代码，具体如下：

　　 1、把自身拷贝至“WINNTSystem32krn132.exe”，并设置系统、隐藏、只读属性。

　　 （在Windows 2000下同时设置了系统和隐藏属性的文件在资源管理器中是不可见的，即使选择了“显示所有文件和文件夹”。取消选择“隐藏受保护的操作系统文件（推荐）”后则是可见的。）

　　 2、把“WINNTSystem32krn132.exe”注册为“Krn132”服务，并设置为开机时自动运行。

　　 3、在internet临时文件夹中读取所有"htm"，"html"文件并从中提取email地址，此蠕虫利用和Nimda一样利用了MIME漏洞把自身加到邮件中，发送到所有获得的地址。

　　 邮件主题随即设为下列之一：

　　“Hi”“Hello”“How are you?”

　　“Can you help me?”“We want peace”

　　“Where will you go?”“Congratulations!!!”

　　“Don’t Cry”

　　“Look at the pretty”“Some advice on your shortcoming”

　　“Free XXX Pictures”“A free hot porn site”

　　“Why don’t you reply to me?”

　　“How about have dinner with me together?”

　　“Never kiss a stranger”

　　[iduba_page]

　　 内容为空，但编码中有一段注释：

　　 <!--=20

　　 I’m sorry to do so,but it’s helpless to say sorry.

　　 I want a good job,I must support my parents.

　　 Now you have seen my technical capabilities.

　　 How much my year-salary now? NO more than $5,500.

　　 What do you think of this fact?

　　 Don’t call my names,I have no hostility.

　　 Can you help me?

　　 -->

　　 4、搜索网上邻居，发现可写的共享目录会随机生成一个文件名，并将病毒自身进行加密，用该文件名将病毒复制过去。文件名的生成规则：

　　第一部分随机生成的名字为字母或数字，最后补一个“.”，

　　第二部分在Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg中选择一个。

　　第三部分补上exe作为扩展名。

　　 5、krn132.exe每启动一次就会在目录：“%Temp%”和“WINNTTemp”中创建一个自身的副本，文件名是以K打头的，形如“k871.exe”、“k2.exe”或“ka.exe”。

　　 完整的wantjob第一次运行时还会设置病毒在下次开机时执行病毒部分，具体如下：

　　 6、、改变部分编码后拷贝至“WINNTSystem32Wqk.dll”，并设置系统、隐藏、只读属性。

　　 7、、在注册表中写入以下键值

　　 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]

　　 "AppInit_DLLs"="Wqk.dll"

　　 把Wqk.dll注册为系统启动时必须加载的模块。下次开机时，病毒部分以动态链接库形式被加载， 存在于所有系统进程中。因为没有自己的PID，所以在任务管理器中也看不见，也不能被终止。这是黑客常用的一种隐藏backdoor的方法，微软知识库Q134655和Q125680详细论述了这一问题。

　　 下次开机时，Wqk.dll被加载，wantjob以病毒方式运行：

　　 1、遍历硬盘，寻找PE文件，并感染之。

　　 2、检查本地的时间，如果时间为单月13日，则马上启动26个破坏线程，用内存中的数据覆盖硬盘上的所有文件。

　　 3、Wqk.dll每启动一次就会在目录：“WINNTSystem32”中创建一个自身的副本，

　　 文件名为“Wqk.dll”再加一个数字，形如“Wqk.dll6”、“Wqk.dll23”。

　　 无论以什么方式运行，wantjob都会进行一些自我保护的措施：

　　 1、检查进程，如果发现一些杀毒软件在（AVP、NAV、NOD、Macfee等）在运行，则将该软件的进程终止。

　　 2、不断向注册表中写入

　　 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCu