据金山毒霸消息,尼姆达余威未尽,新秀即刻杀到!10月26日下午,金山公司反病毒应急处理中心截获一例高度危害的恶性蠕虫病毒wantjob(“求职信”病毒)。此病毒已在国外迅速蔓延,很快将传至国内,危害之大与尼姆达相比有过之而无不及。据金山反病毒应急处理中心的技术人员分析,该病毒利用的同是Iframe ExecCommand漏洞,但与尼姆达相比,除了有其共有的危害性外,它还能够完全覆盖文件。
对“求职信”病毒的技术分析:
病毒名称:Worm.wantjob.57345
危害性:高
病毒运行的过程:
1、 首先将自己要用到的字符串解码。
2、 启动一个线程不停的查询内存中的进程、检查是否有一些杀毒软件存在(如AVP/NAV/NOD/Macfee等)。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次,以至于这些杀毒软件无法运行。
3、 接着病毒启动另一个线程,用来创建一个名为WQK.EXE的文件运行、拷贝到<%WINDOWS%>的<%SYSTEM%>目录。然后将自身复制到<%WINDOWS%>的<%SYSTEM%>目录。
4、 然后修改注册表,使自己的每次系统启动都自动运行。
5、 将自己注册为系统的服务进程。
6、 启动一个线程用于发送邮件,病毒再次利用Nimda病毒利用的Iframe ExecCommand漏洞,使没有打IE补丁的用户收到邮件后会自动运行。病毒会随机选取以下语句作为邮件主题:
