求职信变种病毒

“求职信”病毒属于蠕虫病毒，于2001年的11月首次在国内出现，之后每逢奇数月13日发作。由于此病毒多以求职为邮件内容，所以很容易迷惑用户。本次截获的“求职信”变种，在原病毒的基础上增加了更多的工作线程，病毒体内包含大量加密字符串。由于此病毒能提升自身的运行级别，使得一般程序无法结束或访问它的进程，包括Windows自带的任务管理器，因此无法手工清除此病毒。

病毒介绍

发作现象

解决方案

病毒介绍

病毒名称：求职信变种(Klez.K/L)

病毒类型：蠕虫病毒

传播方式：邮件

危害等级：★★★★★

病毒介绍：

病毒在得到运行后，首先提升自身的运行级别，然后将自己复制到Windows系统目录下，文件名总以Wink开头，同时还会放出一个小病毒体(Win32.Foroux.exe)，最后分别运行它们并退出。当病毒被自己再次运行时，已处于系统目录下，它不再复制自身，而是创建7个病毒线程，并以系统服务的形式驻留内存。从以上情况可以看出，此次出现的求职信变种病毒具有更大的隐蔽性与破坏力。

发作现象

此次的“求职信”变种来势凶猛，它主要以电子邮件的形式传播，其信件主题内容多样，而病毒邮件附件的扩展名则以：txt、htm、html、wab、doc、xls、jpg、cpp、mpg、mpeg、bak、mp3为主。因此，当用户收到具有以上特征的英文信件时，需谨慎处理！

同时，此次的变种病毒较之以往的“求职信”病毒具有以下特点：

可自动搜索所有系统正运行的进程，杀掉对它有威胁的进程。在本地硬盘搜索一些著名杀毒软件的数据文件，发现后立即后删除，导致它们无法运行。(3)感染注册表中某些已登记安装了的软件，例如Explorer,WinZip,WinRAR,OutLook等。因为这些软件比较常用，可保证病毒被激活。

(4)搜索网络邻居中的可写文件夹，并将病毒体复制到其中，以便扩大传染面积。

(5)通过自带的SMTP客户端程序向用户地址簿的所有地址发送带毒邮件。邮件标题多为吸引人的标题。

(6)将小病毒体释放到Program File目录中，并启动此小型病毒体(Win32 Foroux)。此小型病毒体是个典型的文件型病毒，启动后即开始全盘感染可执行文件。

(7)在Windows的Internet临时文件夹中搜寻对它有威胁的文件，找到后立即删除。从而阻止用户上网升级或下载对付它的程序。

解决方案

由于此次病毒会删除杀毒软件的主程序，以至于用户无法升级杀毒软件，所以采用瑞星专杀版本是比较有效的方法，瑞星专杀版本的文件名不固定，也可保证不含有敏感字符串，即使包含病毒识别的字符串，由于瑞星专杀版本的运行速度很快，在病毒发现它以前，病毒已被它杀掉，所以不怕此类病毒。

另一种方法是开启瑞星邮件监控系统和瑞星内存实时监控系统进行实时拦截，任何企图调用它们对主程序进行操作的代码都会被拦截，提示用户是否确认，这样就杜绝主程序被删或被停，这时就如同查杀普通病毒一样了。