当心“求职信” 2001年 44期 10月下旬,一例具有高度危害性的恶性蠕虫病毒WantJob(求职信病毒)在国外迅速蔓延后,渐渐传至国内。这例病毒的危害之大与Nimda(尼姆达病毒)相比有过之而无不及,除了有其共有的危害性外,它还具有更强的破坏性。   #1危害性   求职信病毒具有非常强的传播性,当计算机时间为每年的1月13日时,该病毒将搜索硬盘,用内存中的随机数据覆盖硬盘上的所有文件,极具破坏性,会给用户数据带来不可估量的损失。   求职信不仅具有自动发信、自动执行、感染局域网等破坏功能,而且在感染计算机后还不停查询内存中的进程、检查是否有一些杀毒软件存在(如AVP/NAV/NOD/Macfee等),如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次,以至这些杀毒软件无法运行。   该病毒如果感染的是Windows NT/2000系统的计算机,即把自己注册为系统服务进程,一般方法很难将其杀灭。它还不停地向外发送邮件,把自己伪装成Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg类型文件中的一种,文件名也是随机产生的,很具隐蔽性。   该病毒每8小时就搜寻一切可写的网络资源(如局域网的完全共享目录),随机产生一个文件名,加密后把自己复制过去,并可调用远程Service启动函数,远程启动病毒程序(对于Windows NT/2000服务器很具杀伤性)。而且它还不像Nimda那样有固定格式的文件名和固定长度,它的长度会有60168、60169等变化,非常难以识别。(^44020102a^)   该病毒会最高使用26个线程,在硬盘和网络盘上不断搜索文件,导致机器速度变慢,由于该病毒在传播过程中不断申请1M的内存,导致内存资源急剧下降,直至机器无法运行为止。   #1四大显著特点   #2一、利用framExecCommand漏洞   与HappyTime(欢乐时光)和Nimda两大病毒原理一样,WantJob利用了微软的Iframe ExecCommand漏洞,使IE没有打补丁的用户会自动运行该病毒,即使没有点击,浏览、预览也会中招。正因为这一点,HappyTime与Nimda才得以广泛流传,与此同时因为HappyTime与Nimda的发作,没有打补丁的IE用户减少,所以也减少了它发作的几率。   #2二、可以远程启动   它与Nimda病毒一样大量传染局域网,但比Nimda更高明的是,在部分条件下可以远程启动,这是该病毒的一大特征,也是独具特色的一大危害点。   #2三、大量消耗系统资源   在计算机中毒后,该病毒会不断遍历磁盘,分配内存,导致系统资源很快被消耗殆尽。根据这一特点可以轻易地判断出计算机是否中了该病毒。最明显的特点是计算机速度变慢,主硬盘有高速转动的震动声,硬盘空间减少。   #2四、双程序结构   该病毒为双程序结构,其中一个负责远程传播(包括E-mail传播和局域网传播),另一个负责本地传染传播;这种结构也是原来的病毒从来没有过的特征,这就加强了该病毒的传播性。   编后:随着现在病毒编写机制的不断变化,对病毒的防治工作也越来越艰巨。就普通用户而言,在使用计算机时除了要提高安全防护意识,尽量做到防患于未然之外,还要学会使用和及时升级防病毒软件产品,“亡羊补牢”也非常重要。“道高一尺,魔高一丈”,病毒与反病毒之间的争斗仍然会继续下去……