金山毒霸全球病毒监测网2001年10月26日陆续收到一批貌似求职信的可疑邮件,经过快速的分析,发现是一种高危险性的恶性邮件病毒。该病毒再次利用Nimda病毒利用的Iframe ExecCommand漏洞,使没有打IE补丁的用户收到邮件后会自动运行,具有非常强的传播性。当计算机时间为每年1月13日时,该病毒将搜索硬盘,用内存中的随机数据覆盖硬盘上的所有文件, 极具破坏性,会给用户数据带来不可估量的损失。因为在带毒信件中有“I want a good job,I must support my parents.(我必须找到一分工作来供养我的父母)”字样,所以金山毒霸将它命名为“Win32.WantJob"(中文名为“求职信”)病毒。
“求职信”不仅具有尼姆达病毒自动发信、自动执行、感染局域网等破坏功能,而且在感染计算机后还不停的查询内存中的进程、检查是否有一些杀毒软件存在(如AVP / NAV/ NOD/ Macfee等)。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次,以至于这些杀毒软件无法运行。
"求职信"的四大显著特点:
一、IframExecCommand漏洞
和HappyTime,Nimda两大病毒原理一样,利用微软的Iframe ExecCommand漏洞,使IE没有打补丁的用户会自动运行该病毒,即使没有点击,浏览、预览也会中招。正因为这一点,HappyTime与Nimda才得以广泛流传,与此同时因为HappyTime与Nimda的发作,没有打补丁的IE用户减少,从 这一方面也可以说是减少了"求职信"病毒的发作机率。
二、可以远程启动
与Nimda病毒一样大量传染局域网,但比Nimda更高明的是,在部分条件下可以远程启动,是这个病毒一大特征,也是独具特色的一大危害点。
三、大量消耗系统资源
在计算机中毒后,"求职信"病毒会不断遍历磁盘,分配内存,导致系统资源很快被消耗殆尽。根据这一特点可以轻易的判断出计算机中了"求职信"病毒。最明显的特点是计算机速度变慢,硬盘有高速转动的震动声,硬盘空间减少。
四、双程序结构
双程序结构,一个负责远程传播(包括Email传播和局域网传播),另外一个负责本地传染传播;这种结构也是原来的病毒从来没有的特征,用来加强该病毒的传播性。
没有打IE补丁的用户收到邮件后会自动运行。病毒会随机选取以下语句作为邮件主题:
Hi Hello How are you? Can you help me? We want peace Where will you go? Congratulations!!! Don’t Cry Look at the pretty Some advice on your shortcoming Free XXX Pictures A free hot porn site Why don’t you reply to me? How about have dinner with me together? Never kiss a stranger
邮件体为空,但编码中有一段注释: I’m sorry to do so,but it’s helpless to say sorry. I want a good job,I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? NO more than $5,500. What do you think of this fact? Don’t call my names,I have no hostility. Can you help me?
金山毒霸最新升级包已能查杀这一新出现的恶性病毒,请注意升级到最新升级包版本(10.27)。金山公司提供免费的专杀工具,以使非金山毒霸的用户也可以查杀这一新病毒,减少损失。
|