连环追击 查杀网页病毒及后遗症(3)

　　逐个认识IE病毒

　　从尼姆达病毒开始，新病毒广泛的利于了IE的Ifarme漏洞在用户预览或打开信件的时候自动运行，这种入侵方式大大的降低了用户中毒的门槛，使得病毒传播速度大大加快。之前广泛传播的爱虫和Sircam，只是利用社交工程诱使用户点击运行病毒，分别用了一个月和两周的时间才传播到全球范围，而尼姆达和求职信病毒只用了三天和几个小时的时间就达到同样的效果，不能不说IE的Ifarme漏洞在这其中“居功至伟”，这类利用IE漏洞的病毒从去年到今年层出不穷，给我们平时的上网生活与工作带来诸多危险，让我们现在就来逐个认识此类病毒，为防范新病毒做好准备。

　　2001年09月18日“尼姆达” 变种家族nimda-nimda.e 被发现，第一个利用IE的Ifarme漏洞的病毒

　　2001年10月30日 变种Nimda.E 出现有史以来传播方式最多的病毒。

　　病毒特征：只要一预览邮件立刻中毒，同时读取用户信件，取出SMTP地址、邮箱地址，利用这些地址将带有蠕虫病毒信件对外发送，而且在局域网内传播。该病毒还能通过“即时聊天”以及“FTP程序”传播具有极高的传染性。它利用微软的Unicode漏洞采用类似“CodeBlue”蠕虫的攻击方式对外随机攻击网站。

　　“求职信”变种家族Wantjob(Klez.a-Klez.H)

　　2001年10月26日 Klez.A

　　2002年1月23日 Klez.F

　　2002年4月16日 Klez.k，Klezh

　　有史以来传播最广泛的病毒。

　　病毒特征：通过隐藏在邮件附件中进行传播，是用Visual C++编写的Windows PE EXE文件.除了通过电子邮件及本地局域网传播外，它还会在临时文件夹中创建一个Windows EXE文件，文件名以K开头，如KB180.exe，然后将Win32.Klez病毒写入此文件内。

　　利用的是IE的Iframe漏洞，预览后即会中毒。病毒会利用SMTP协议向外发送病毒邮件，邮件主题从病毒体的列表中随机选取一个：同时会向网络邻居的共享可写目录中写入病毒文件进行传播。

　　每逢偶数月的第13日，该蠕虫会自动运行，且覆盖被感染机器可用磁盘的所有文件，文件被覆盖后无法恢复，只有从备份中才能重新得到。

　　2001年10月25日 出现 “本.拉登” win32. BINLADEN

　　通过搜索ICQ网站来取得邮件地址，使用匿名的方式采用SMTP协议发送带毒邮件。该病毒利用了IFRAME漏洞。当我们预览含有病毒邮件时，病毒邮件体内脚本w代码在将被执行，如果计算机上所使用的Outlook浏览器存在该漏洞，计算机将被感染。