Win32.WantJob

这是一个广泛传播的混合型蠕虫病毒，主要通过邮件和网络共享传播，危害极大。

1.首先将自己要用到的字符串解码。

2.启动一个线程不停的查询内存中的进程.检查是否有一些杀毒软件存在（如AVP/NAV/NOD/Macfee等）。假如存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次，以至于这些杀毒软件无法运行。

3.接着病毒启动另一个线程，用来创建一个名为WQK.EXE的文件运行.拷贝到<%WINDOWS%>的<%SYSTEM%>目录。然后将自身复制到<%WINDOWS%>的<%SYSTEM%>目录。

4.然后修改注册表，使自己的每次系统启动都自动运行。

5.将自己注册为系统的服务进程。

6.启动一个线程用于发送邮件，病毒再次利用Nimda病毒利用的IframeExecCommand漏洞，使没有打IE补丁的用户收到邮件后会自动运行。病毒会随机选取以下语句作为邮件主题：
Hi
Hello
Howareyou?
Canyouhelpme?
Wewantpeace
Wherewillyougo?
Congratulations!!!
Don’tCry
Lookatthepretty
Someadviceonyourshortcoming
FreeXXXPictures
Afreehotpornsite
Whydon’tyoureplytome?
Howabouthavedinnerwithmetogether?
Neverkissastranger

邮件正文部分为空，但编码中有一段注释：
I’msorrytodoso,butit’shelplesstosaysorry.
Iwantagoodjob,Imustsupportmyparents.
Nowyouhaveseenmytechnicalcapabilities.
Howmuchmyyear-salarynow?NOmorethan$5,500.
Whatdoyouthinkofthisfact?
Don’tcallmynames,Ihavenohostility.
Canyouhelpme?

基于该病毒的这个信息，金山毒霸命名为wantjob病毒，全称为：Worm.wantjob.57345。

7.启动感染网上邻居的线程。该线程发现可写的共享目录时，会随机生成一个文件名，并将病毒自身进行加密，用该文件名将病毒复制过去。然后Sleep8小时再感染一次。文件的长度会有60168.60169等的变化。文件名的生成规则：
第一部分随机生成的名字为字母或数字，最后补一个“。”，
第二部分在Htm.Doc.Jpg.Bmp.Xls.Cpp.Html.Mpg.Mpeg中选择一个。
第三部分补上exe作为扩展名。

8.启动26个线程，遍历硬盘.网络盘一遍找满足扩展名需求的文件，这个文件名将用于邮件发送

9.进入一个循环，检查本地的时间，假如时间为1月13日，则马上启动26个破坏线程，该线程查找硬盘上的所有文件，并用内存中的数据覆盖硬盘上的文件。