出版日期：2002-05-06　总期号：466　本年期号：16

本期导读 热点聚焦 零组件 PC天地 数码与外设 软件.net 专题 社会培训 教育信息化 读者俱乐部

剖析求职信病毒 　　小米的话：“求职信”病毒近来泛滥成灾，小米每日都要删除很多带病毒的邮件，反复提醒很多人：中毒了！要小心，赶快杀毒吧。病毒搅乱了过节的好心情，真是不胜其烦！上期我们已经向大家发出了病毒预警。好在各大反病毒的厂商纷纷快速响应，旋即拿出了全面的解决方案，不论是求职信甚至求职信变种，甚至是与CIH捆绑作乱，一个都不能放过！ 　　病毒机理 　　“求职信”不仅具有尼姆达病毒自动发信、自动执行、感染局域网等破坏功能，而且在感染计算机后还不停地查询内存中的进程、检查是否有一些杀毒软件存在（如AVP / NAV/ NOD/ Macfee等），如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次，以至于这些杀毒软件无法运行。 　　该病毒如果感染的是Windows NT/2000系统的计算机，即把自己注册为系统服务进程，一般方法很难杀灭。它还不停地向外发送邮件，把自己伪装成各种类型的文件，文件名也是随机产生的，很具隐蔽性。 　　该病毒会生成26个线程，在硬盘和网络盘上不断搜索文件，导致机器速度变慢，由于病毒在传播过程中不断申请内存，导致内存资源急剧下降，直至机器无法运行。 　　传播方式 　　 它的传播方式有四种： 　　1、通过Internet邮件，搜索当前用户的地址簿或随机计算邮件地址，用SMTP服务器发送自己这个带毒木马，邮件文件是由木马部分形成，并且该邮件会在Outlook Express下自动执行，它的主题是随机的。 　　2、通过网络邻居，搜索所有的网络连接，查找共享目录，将自己的文件放到共享目录中，并试图让远程计算机将它作为一个服务启动。 　　3、通过磁盘传播，创建专门的线程感染磁盘，如果当前日期为奇数月的13日，会感染所有硬盘或网络文件。 　　4、蠕虫方式病毒感染。 　　感染病毒的特征 　　如果Outlook或者IE没有打相应的补丁，不慎打开或者预览带毒的邮件的话，病毒就会被自动激活。而病毒会很巧妙地把带毒的附件注册为audio/x-wav 或者 audio/x-midi（都是多媒体类型），所以，即使附件是EXE后缀名的文件，Windows也会用多媒体播放软件来打开附件，往往会出现一段“没有足够内存运行*****.***程序……”的错误提示，但其实病毒此时已经被激活了。 　　清除方法 　　如果你的机器已经感染了“求职信”病毒，你可以用以下的方法清除： 　　1、 下载安装McAfee的“DAILY DAT”，下载地址为：http://www.mcafeeb2b.com/naicommon/avert/avert- 　　research-center/virus-4d.asp)； 　　2、 关闭所有的应用程序； 　　3、 关闭与网络的连接； 　　4、 点击［程序］→［运行］，运行“Command”，然后回车； 　　5、 进入下面的目录： 　　Windows 9x/Me系统下： 　　cd \progra~1\ 　　common~1\networ~1\viruss~1\40~1.xx 　　在Windows NT/ 　　2000/XP系统下： 　　cd \progra~1\ 　　common~1\networ~1\viruss~1\40F809~1.xx 　　6、 首先杀除系统文件的病毒： 　　对于Windows 9x/Me系统： 　　scan.exe %windir%\system\win*.exe 　　对于Windows NT/2000/XP系统： 　　scan.exe %windir%\system32\win*.exe 　　7、 运行：scan.exe /adl /clean 　　8、 完成以后重新启动计算机； 　　9、 为了防止计算机再次感染病毒，请按照下面的防治方法进行操作。 　　防治方法 　　1、为防止计算机通过E-mail渠道被感染，请升级您的Internet Explorer： 　　http://www.microsoft.com/technet/security/bulletin 　　2、为了防治求职信病毒通过“共享文件夹”传播，请把你的共享目录的权限改为“只读”或者改为根据特定的用户和密码进行访问。 　　相关消息 　　赛门铁克公司近日提醒用户，近期正在流行的 “求职信”（简称“Klez”，全名为“W32.Klez.e@mm”）蠕虫病毒出现变种(“W32.Klez.H@mm”)，现正在蔓延。从赛门铁克安全响应中心在全球收到的该蠕虫病毒提交数目来看，其威胁程度被定为3级。 　　赛门铁克针对Klez蠕虫病毒变种已经提出了具体的解决方案， 详情请参见赛门铁克英文网址：http://securi- 　　tyresponse.symantec.com/avcenter/venc/data/ 　　w32.klez.h@mm.html； 其修复工具也将随即公布， 欢迎登录 http://www.symantec.com 查询相关资料。 　　冠群金辰提供的程序不但可以帮助用户查杀这些变种，还可以帮助用户将被病毒感染或破坏的原文件恢复为原来的状态。据介绍，用户只需升级KILL IT至V35.05，升级KILL安全胄甲至23.53.5以上版本，就可查杀该蠕虫；而且，用户下载冠群金辰提供的原始文件恢复程序UNKLez后，就可恢复被病毒处理的原始文件。 　　Win32.Klez属于双重交叉感染的病毒，它是一个CIH 1.2版本包含在求职信病毒Klez中来传播的情况，也就是CIH病毒利用了Klez求职信网络蠕虫的传送通道进行传播，Klez求职信变种病毒在传送自身的同时也传播了CIH病毒。该变种可以感染所有的系统，包括Windows NT/2000/XP等，它还能感染Windows 98/Me系统下PE格式的文件，破坏机器硬盘系统引导区等。它主要还是利用了微软MIME 的漏洞来进行传播的，影响微软的Outlook Express的用户。