Klez.a

　　病毒特征：通过隐藏在邮件附件中进行传播，是用Visual C++编写的Windows PE EXE文件.除了通过电子邮件及本地局域网传播外，它还会在临时文件夹中创建一个Windows EXE文件，文件名以K开头，如KB180.exe，然后将Win32.Klez病毒写入此文件内。

　　运行后，病毒会在Windows系统目录下生成krn132.exe文件，同时修改注册表

　　HKLMSoftwareMicrosoftWindowsCurrentVersionRun Krn132 = %System%Krn132.exe ，以致Windows每次启动，病毒都会自动运行。

　　另外，此病毒还会搜索正运行的反病毒程序，并用windows的"终止进程"的命令来关闭以下反病毒程序：

　　AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS

　　利用的漏洞：

　　利用的是IE的Iframe漏洞，预览后即会中毒。

　　传播方式：

　　1.电子邮件：病毒会利用SMTP协议向外发送病毒邮件，邮件主题从以下列表中随机选取一个：

　　 Hello

　　 How are you?

　　 Can you help me?

　　 We want peace

　　 Where will you go?

　　 Congratulations!!!

　　 Don‘t cry

　　 Look at the pretty

　　 Some advice on your shortcoming

　　 Free XXX Pictures

　　 A free hot porn site

　　 Why don‘t you reply to me?

　　 How about have dinner with me together?

　　 Never kiss a stranger

　　邮件正文为：

　　 I‘m sorry to do so,but it‘s helpless to say sory.

　　 I want a good job,I must support my parents.

　　 Now you have seen my technical capabilities.

　　 How much my year-salary now? NO more than $5,500.

　　 What do you think of this fact?

　　 Don‘t call my names,I have no hostility.

　　 Can you help me?

　　附件为Win32 PE EXE文件，扩展名为.exe或双扩展名，如name.ext.exe 。其中附件的文件名以原文件为基准，在原文件的基础上加.exe后缀，，如"Ylhq.htm.exe", "If.xls.exe"等。此处所指原文件是从被感染机器磁盘上找到的后缀名为如下的文件：.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg

　　。

　　2.本地及网络驱动器

　　此病毒会向所有有可写权限的本地及网络磁盘传播，然后以任意文件名"name.ext.exe"在这些磁盘上生成病毒副本。成功拷贝副本至网络磁盘后，它就在远程计算机上注册从而成为系统服务端应用程序。

　　发作日期：

　　[iduba_page]

　　每逢偶数月的第13日，该蠕虫会自动运行，且覆盖被感染机器可用磁盘的所有文件，文件被覆盖后无法恢复，只有从备份中才能重新得到。

　　Klez.e

　　病毒特征：此变种运行后会在Windows系统目录下生成副本，副本以"Wink"开头的任意字符命名，如"Winkad.exe"。它会到注册表SoftwareMicrosoftWindowsCurrentVersionApp Paths下搜索连接应用程序的键值，找到后便感染这些EXE程序，并创建一个文件名相同、扩展名任意的文件，且文件属性改成隐藏、系统或只读。此文件是病毒用来运行原被感染程序的。当被感染文件运行时，病毒会将原文件变为临时文件并运行它，文件名为原文件名加上"MP8.l"。另外，病毒还会感染RAR存档文件，这些存档文件为如下之一：

　　 setup

　　 install

　　 demo

　　 snoopy

　　 picacu

　　 kitty

　　 play

　　 rock

　　感染后的文件也可能有一或二个扩展名，最后一扩展名为 ".exe", ".scr", ".pif" or ".bat".

　　利用的漏洞：

　　利有的也是IE的IFrame漏洞，预览后即会中招。

　　传播方式：

　　1.电子邮件：病毒邮件的主题为：

　　 Hi,

　　 Hello,

　　 Re:

　　 Fw:

　　 how are you

　　 let‘s be friends

　　 darling

　　 don‘t drink too much

　　 your password

　　 honey

　　 some questions

　　 please try again

　　 welcome to my hometown

　　 the Garden of Eden

　　 introduction on ADSL

　　 meeting notice

　　 questionnaire

　　 congratulations

　　 sos!

　　 japanese girl VS playboy

　　 look,my beautiful girl friend

　　 eager to see you

　　 spice girls‘ vocal concert

　　 Japanese lass‘ sexy pictures

　　也可能从如下字符串中生成邮件主题：

　　Undeliverable mail--%% Returned mail--%% a %% %% game a %% %% tool a %% %% website a %% %% patch %% removal tools

　　其中的%%为如下字符之一：

　　 new

　　 funny

　　 nice

　　 humour

　　 excite

　　 good

　　 powful

　　 WinXP

　　 IE 6.0

　　 W32.Elkern

　　 W32.Klez

　　附件有两个，一个是病毒副本，另一个是额外文件。附件以如下后缀的文件名命名：.txt .htm .html .wab .doc .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3

　　病毒危害：

　　病毒会终止含有以下字符串的进程：

　　Sircam

　　Nimda

　　CodeRed

　　WQKMM3878

　　GRIEF3878

　　Fun Loving Criminal

　　Norton

　　Mcafee

　　Antivir

　　Avconsol

　　F-STOPW

　　F-Secure

　　Sophos

　　virus

　　AVP Monitor

　　AVP Updates

　　InoculateIT

　　PC-cillin

　　Symantec

　　Trend Micro

　　[iduba_page]

　　F-PROT

　　NOD32

　　Klez.h

　　K