简介:
程序名称:Worm.wantjob.57345 “求职信”
程序类型:病毒/蠕虫
利用漏洞:MIME漏洞(http://www.microsoft.com/technet/security/bulletin/ms01-020.asp)
病毒行为:自我复制,通过email传播,通过网络共享传播,感染可执行文件(包括屏保),破坏本地文件
受影响的系统:所有32位Windows版本。
详细描述(基于Win2K平台):
该程序具有罕见的双程序结构,分为蠕虫部分(网络传播)和病毒部分(感染文件,破坏文件)。两者在代码上是独立的两部分,可能也是分开编写的。两者的结合方式非常有趣,作者先是写好蠕虫部分,然后将病毒部分的二进制码在特定位置加进蠕虫部分,得到最终的病毒/蠕虫程序。
完整的wantjob第一次运行时只执行蠕虫部分代码,具体如下:
1、把自身拷贝至“\WINNT\System32\krn132.exe”,并设置系统、隐藏、只读属性。(在Windows 2000下同时设置了系统和隐藏属性的文件在资源管理器中是不可见的,即使选择了“显示所有文件和文件夹”。取消选择“隐藏受保护的操作系统文件(推荐)”后则是可见的。)
2、把“\WINNT\System32\krn132.exe”注册为“Krn132”服务,并设置为开机时自动运行。
3、在internet临时文件夹中读取所有"htm","html"文件并从中提取email地址,此蠕虫利用和Nimda一样利用了MIME漏洞把自身加到邮件中,发送到所有获得的地址。
邮件主题随即设为下列之一:
“Hi”“Hello”、“How are you?”、“Can you help me?”、“We want peace” 、“Where will you go?”、“Congratulations!!!”、“Don’t Cry”、“Look at the pretty”、“Some advice on your shortcoming”、“Free XXX Pictures”、“A free hot porn site”、“Why don’t you reply to me?”、“How about have dinner with me together?”、“Never kiss a stranger”
