蠕虫名称：W32.Worm.Krn132.60168 （tombkeeper命名，非官方名称）
文件大小：60168字节
传播方式：邮件
利用漏洞：MIME漏洞（http://www.microsoft.com/technet/security/bulletin/ms01-020.asp）
恶性程度：目前仅发现自我复制特性，暂未发现删除文件等破坏特性
分析者：tombkeeper@126.com（感谢atit送来病毒样本）

蠕虫程序行为描述（Win2K平台）：
1、把自身拷贝至\WINNT\System32\krn132.exe，并设置系统、隐藏、只读属性。在Windows 2000下
   同时设置了系统和隐藏属性的文件在资源管理器中是不可见的，即使选择了“显示所有文件和文件
   夹”。但在取消选择“隐藏受保护的操作系统文件（推荐）”后则是可见的。

2、创建“Krn132”服务，并设置为开机时自动运行。

3、在internet临时文件夹中读取所有"htm"，"html"文件并从中提取email地址，此蠕虫利用和Nimda
   一样利用了MIME漏洞把自身加到邮件中，发送到所有获得的地址。
   邮件主题为：“Free XXX Pictures”；内容为：
   I'm sorry to do so,but it's helpless to say sorry.
   I want a good job,I must support my parents.
   Now you have seen my technical capabilities.
   How much my year-salary now? NO more than $5,500.
   What do you think of this fact?
   Don't call my names,I have no hostility.
   Can you help me?

4、程序每启动一次就会在目录：“\Documents and Settings\UserName\Local Settings\Temp\”
   和“\WINNT\Temp\”中创建一个自身的副本，文件名是以K打头的，形如“k871.exe”、“k2.exe”
   或“ka.exe”。

解决方案：
    到目前（2001.10.26 22:23）为止，尚无任何杀毒软件厂商对此做出反应。手工清除方法：
1、杀掉所有krn132.exe进程。
2、删除“\WINNT\System32\krn132.exe”及上文提到的临时文件夹中的所有副本。
3、删除或禁用“Krn132”服务。
4、针对MIME漏洞：打开IE的“工具-->internet选项-->安全-->自定义级别-->文件下载”选“禁用”。

    不要收取主题为“Free XXX Pictures”的邮件，不要以HTML方式察看可疑邮件。