病毒名称:Worm.wantjob.57345
危害性:高
病毒运行的过程:
1、 首先将自己要用到的字符串解码。
2、 启动一个线程不停的查询内存中的进程、检查是否有一些杀毒软件存在(如AVP/NAV/NOD/Macfee等)。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次,以至于这些杀毒软件无法运行。
3、 接着病毒启动另一个线程,用来创建一个名为WQK.EXE的文件运行、拷贝到的目录。然后将自身复制到的目录。
4、 然后修改注册表,使自己的每次系统启动都自动运行。
5、 将自己注册为系统的服务进程。
6、 启动一个线程用于发送邮件,病毒再次利用Nimda病毒利用的Iframe ExecCommand漏洞,使没有打IE补丁的用户收到邮件后会自动运行。病毒会随机选取以下语句作为邮件主题:
Hi
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don’t Cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don’t you reply to me?
How about have dinner with me together?
Never kiss a stranger
邮件体为空,但编码中有一段注释:
I’m sorry to do so,but it’s helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don’t call my names,I have no hostility.
Can you help me?
基于该病毒的这个信息,金山毒霸命名为wantjob病毒,全称为:Worm.wantjob.57345。
7、 启动感染网上邻居的线程。该线程发现可写的共享目录时,会随机生成一个文件名,并将病毒自身进行加密,用该文件名将病毒复制过去。然后Sleep8小时再感染一次。文件的长度会有60168、60169等的变化。文件名的生成规则:
第一部分随机生成的名字为字母或数字,最后补一个“。”,
第二部分在Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg中选择一个。
第三部分补上exe作为扩展名。
8、 启动26个线程,遍历硬盘、网络盘一遍找满足扩展名需求的文件,这个文件名将用于邮件发送
9、 进入一个循环,检查本地的时间,如果时间为1月13日,则马上启动26个破坏线程,该线程查找硬盘上的所有文件,并用内存中的数据覆盖硬盘上的文件。
危害性:高
病毒运行的过程:
1、 首先将自己要用到的字符串解码。
2、 启动一个线程不停的查询内存中的进程、检查是否有一些杀毒软件存在(如AVP/NAV/NOD/Macfee等)。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次,以至于这些杀毒软件无法运行。
3、 接着病毒启动另一个线程,用来创建一个名为WQK.EXE的文件运行、拷贝到的目录。然后将自身复制到的目录。
4、 然后修改注册表,使自己的每次系统启动都自动运行。
5、 将自己注册为系统的服务进程。
6、 启动一个线程用于发送邮件,病毒再次利用Nimda病毒利用的Iframe ExecCommand漏洞,使没有打IE补丁的用户收到邮件后会自动运行。病毒会随机选取以下语句作为邮件主题:
Hi
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don’t Cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don’t you reply to me?
How about have dinner with me together?
Never kiss a stranger
邮件体为空,但编码中有一段注释:
I’m sorry to do so,but it’s helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don’t call my names,I have no hostility.
Can you help me?
基于该病毒的这个信息,金山毒霸命名为wantjob病毒,全称为:Worm.wantjob.57345。
7、 启动感染网上邻居的线程。该线程发现可写的共享目录时,会随机生成一个文件名,并将病毒自身进行加密,用该文件名将病毒复制过去。然后Sleep8小时再感染一次。文件的长度会有60168、60169等的变化。文件名的生成规则:
第一部分随机生成的名字为字母或数字,最后补一个“。”,
第二部分在Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg中选择一个。
第三部分补上exe作为扩展名。
8、 启动26个线程,遍历硬盘、网络盘一遍找满足扩展名需求的文件,这个文件名将用于邮件发送
9、 进入一个循环,检查本地的时间,如果时间为1月13日,则马上启动26个破坏线程,该线程查找硬盘上的所有文件,并用内存中的数据覆盖硬盘上的文件。
