国家计算机病毒应急处理中心成员单位、北京江民新科技术有限公司病毒快速反应小组率先捕获了一种新的网络蠕虫病毒，其英文名为：I－WORM.Klez，中文名由国家计算机病毒应急处理中心建议为：“求职信”病毒。
　　
　　该病毒特性如下：
　　病毒传染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000。邮件部分和Nimda/Sircam非常相似，它用WAB文件来获取EMail地址，使用内在的SMTP引擎来发送EMail。邮件内容是HTML，Klez用IFRAME漏洞在受害者的电脑上来执行自己，而不需要用户运行附件。
　　I－WORM.Klez蠕虫通过从下面列表中随机选择一个标题的EMail来传播自己:
　　“Hi”，“Hello”，“How are you?”“Can you help me?”，“We want peace”，“Where will you go?”，“Congratulations!!!”，“Don‘t cry”，“Look at the pretty”，“Some advice on your shortcoming”，“Free XXX Pictures”，“A free hot porn site”，“Why don‘t you reply to me?”，“How about have dinner with me together?”，“Never kiss a stranger”。
　　附件中的文件名是随机的，发送地址是任意的字母加上yahoo.com或hotmail.com或sina.com或其它在病毒列表中的任意一个。
　　信件内容如下：
　　“I‘m sorry to do so,but it‘s helpless to say sorry.I want a good job,I must support my parents.Now you have seen my technical capabilities。How much my year-salary now? NO more than $5,500。What do you think of this fact?　Don‘t call my names,I have no hostility。Can you help me?”
　　蠕虫试图使用某些版本的OutLook、OutLook Express、Internet Explorer的一个MIME漏洞来获取自动运行，而不需要用户双击附件。
　　蠕虫将自身拷贝到远程共享的机器上，文件是随机的。它也将自己拷贝到Windows系统目录中，文件名是krn132.exe, 并释放病毒程序WQK.EXE。蠕虫设置注册键值HKLMSoftwareMicrosoftWindowsCurrentVersionRunkrn132指向自己存放的位置。
　　HKLMSoftwareMicrosoftWindowsCurrentVersionRunWQK指向自己存放的位置。
　　
　　该蠕虫在系统启动项中增加了两项：
　　WINDOWSSYSTEMKRN132.EXE
　　WINDOWSSYSTEMWQK.EXE
　　这样，系统启动时病毒就被运行。在患毒的机器中，病毒企图自动拨号上网传播。当运行时，它首先解密所有需要复制的字符串。为了防止被怀疑，所有的字符串都简单地加密了。然后，它会初始化复制所需要的Socket库。然后，依赖操作系统，它会任意地尝试注册可执行的服务或隐藏的进程。在这以后，Klez将试图杀死内存中的反病毒程序。另外一个线程会释放并运行一个携带的病毒——Win32/ElKern，病毒将会在感染的计算机上繁殖。
　　蠕虫拷贝自己到系统目录，名字为krn132.exe。为了保证蠕虫能在下次启动的时候运行，会将自身注册到启动的注册表项。然后，Klez将创建2个传播线程。一个是EMail传播，另外一个是局域网传播。在这点上，Klez也将创建26个线程，每一个线程对应一个驱动器，它们会查找下列后缀的文件。“txt”, “htm”, “doc”, “jpg”, “bmp”, “xls”, “cpp”, “html”, “mpg”和“mpeg”。
　　如果日期是每个月的13号，Klez将调用它的发作部分。它将搜索每一个硬盘或映射盘从A到Z并毁掉所有的文件，很难恢复。日期的检查10分钟完成。
　　局域网传播线程每8小时激活一次，它将搜索局域网中所有的远程共享，并创建双扩展名的文件，如.doc.exe、.xls.exe，第一个扩展名是随机的，而第2个扩展名总是.exe。而且它会试图使用服务控制管理器远程执行这些文件。
　　
　　病毒的清除：
　　(1) 如果用户硬盘装的系统是WINDOWS 98以下，可使用干净DOS软盘启动机器；
　　(2) 执行KVD3000.EXE或KV3000.EXE, 查杀所有硬盘中的病毒。
　　(3) 修改注册表项:
　　(a) 在WINDOWS“开始”栏内，运行REGEDIT；
　　(b) 删除：HKLMSoftwareMicrosoftWindows
　　 CurrentVersionRun
　　删除其中的名称为
　　 WINDOWSSYSTEMKRN132.EXE的键值
　　删除其中的名称为
　　 WINDOWSSYSTEMWQK.EXE的键值
　　在Windows2000中:
　　HKLMSoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs=“Wqk.dll”
　　删除其中的名称为WQK.DLL的键值
　　(4) 修改系统启动项:
　　在WINDOWS“开始”栏内，运行MSCONFIG，去掉其中的名称为WINDOWSSYSTEMKRN132.EXE的勾值；去掉其中的名称为WINDOWSSYSTEMWQK.EXE的勾值。
　　(5) 为了预防该病毒在浏览该带毒信笺可以自动执行的特点，必须下载微软的补丁程序。
　　地址是：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp。
　　这样可以预防此类病毒的破坏。
　　(6) WINDOWS 2000如果不需要可执行的CGI，可以删除可执行虚拟目录,例如/scripts等等。
　　(7) 如果确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区。
　　(8) 开启KVW3000实时监测病毒防火墙。
　　(9) 再将邮箱中的带毒邮件一一删除，否则又会重复感染。
　　WINDOWS/NT/2000/XP系统的NTFS硬盘分区患有此毒时，处理比较烦琐。因用DOS软盘引导后不认硬盘分区，所以无法杀毒。在患毒的WINDOWS/NT/2000/XP系统下又杀不干净病毒。怎么办? 不管是服务器还是单机的硬盘染此毒了，要想杀干净病毒，可按如下方法杀毒：
　　(a) 找一无毒的并装有WINDOWS/NT/2000/XP系统的机器，将KVW3000安装到此无毒的硬盘中。
　　(b) 将患毒的硬盘挂接在无毒的机器上做为副盘。
　　(c) 用无毒的主盘引导机器后，调用KVW3000或KVD3000查杀副盘中的病毒。
　　
　　该病毒传播能力极强，必须加强防范。广大电脑用户可在江民公司的网站上下载最新版本的KV3000系列可防杀该病毒。