恶性病毒Klez.E

网络与通信

杨海凌

Klez.E病毒的原型于2001年底被发现，但最初的版本均不如目前的Klez.E具有这么强的攻击力和破坏力，而且传播速度也没有Klez.E这么快。现在Klez.E已“荣登”全球最常见的十大电脑病毒头名宝座。它可以显示不同的主题，有时还会乔装成病毒预警信息，这种病毒还能试图删除反病毒软件。Klez.E病毒可以攻击安装有任何一种电子邮件系统的计算机， 不过它只会将病毒复本传输到在Outlook地址簿当中有记录的计算机邮箱当中，带有这种病毒的电子邮件可以自行启动，收件人只要打开邮件预览收看内容，甚至不打开附件都会使计算机受到感染。Klez. E病毒的发作日是“奇数月份”的第6天，比如3月6日就是该病毒的爆发时间。 据最新的消息，当天全国各大城市的很多电脑都遭到了致命的袭击。而笔者所在公司的四十多台计算机也被该病毒彻底破坏。
Klez.E病毒的威力很大，它会攻击几乎所有的电脑文件，除常见的可执行文件外，从普通的TXT文本文件，到Excel电子表格，甚至图片、音频、影象等各种文档全都不放过。而且Klez.E病毒的破坏力非常惊人，它不是简单的删除电脑文件，而是用垃圾数据进行覆盖，以致于损失的文件根本不可能再进行恢复的工作。从这一点看来，Klez.E简直比CIH还要恐怖。与“爱虫”等固定邮件标题不同，Klez. E病毒的邮件主题有20种不同的形式，可能还会加上“Re:、Fw:”以便使邮件接收者误认为邮件是被返回的，因此有很大的欺骗性和伪装性。邮件的主体内容来自一个由短语组成的列表或者是空的。主体内容包含一段HTML代码，用于攻击IE、Outlook及Outlook Express。如果成功，病毒邮件的附件将会在用户不知道的情况下被打开。病毒附件的名称是随机的，其后缀名可从.EXE、.SCR、.PIF、.BAT中挑选产生。
附件程序被执行后，将在系统目录中生成多变的病毒程序Win32.Wqk.B。为了在系统启动时运行蠕虫程序，病毒在系统注册表的如下位置中添加键值：HKEY\Software\Microsoft\Windows\CurrentVersion\Run\=”C:\Windows\System\。
该病毒一旦被激活， 将在Windows系统下创建“wink.exe”病毒执行程序，其中“*”是随机字符，例如：“Winksky.exe”。 病毒还会建立如下键值：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WQK=”C:\Windows\System\Wqk.exe，用以执行系统目录下的病毒文件。
根据以上特征，你就可准确判断是否感染了Klez.E病毒。如果发现已经被感染上，也不必惊慌。可以先查找并删除注册表中的以上键值，然后将杀病毒软件升级到最新版本加以彻底清除。手上没有杀病毒软件的朋友，也可到瑞星等网站上进行在线杀毒。