menu

:: wirus

Sposoby rozprzestrzeniania się

Klez.I rozsyła swoje kopie pocztą elektroniczną oraz infekuje pliki wykonywalne. Nie jest jeszcze znany rozmiar zniszczeń, jakie może powodować nowy wirus. Warto pamiętać, że najbardziej szkodliwy robak z rodziny Klez (odmiana .E) działał w ten sposób, że szóstego dnia każdego miesiąca starał się wyzerować (lub zastąpić dowolnymi śmieciami) pliki o następujących rozszerzeniach: txt, htm, html, wab, doc, xls, jpg, cpp, c, pas, mpg, mpeg, bak oraz mp3. Jeśli jednak miesiącem uaktywnienia był styczeń lub lipiec, wirus próbował zniszczyć wszystkie pliki na dysku, tak że jedyną szansa na ich odzyskanie pozostawało odtworzenie ich z kopii bezpieczeństwa (backup'u). Nowy robak dostaje się na komputer ofiary jako załącznik do wiadomości wyglądających podobnie do poniższych:

Temat: A powful tool
Treść:
This is a special powful tool
I expect you would enjoy it

Temat: Worm Klez.E immunity
Treść:
Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me

Temat: A funny website
Treść:
This is a funny website
I hope you would like it

Inne możliwe tematy:

!supportEmptyParas
how are you
Sito utilizza frames!!
Introduction on ADSL
look,my beautiful girl friend
Reset Display
205 MB of free hard disk space, but may
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures

Oprócz tego, tematy listów mogą mieć następujący format:

Re: Fw: Undeliverable mail--"%s"
Returned mail--"%s"
a %s %s game
a %s %s tool
a %s %s website
a %s %s patch
%s removal tools

gdzie %s to słowo wybierane losowo spośród poniższych:

new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky

W innych przypadkach temat może wyglądać tak:

I %s you would %s it.

gdzie %s to słowo wybierane losowo spośród:

enjoy
like
wish
hope
expect

Działania i objawy

Otwarcie załącznika, bądź to przez użytkownika, bądź automatycznie przez podgląd programu pocztowego (np. MS Outlook lub MS Outlook Express) powoduje natychmiastową aktywizację robaka. W pierwszej kolejności, już w momencie oglądania treści wiadomości, wirus rozsyła swoje kopie do wszystkich adresatów książki adresowej ofiary.

Jednocześnie Klez.I wyzerowuje pliki .pe (portable executable) w systemie, niszcząc je w sposób nieodwracalny. Tworzy też plik Wink*.exe - jest to rozprowadzany przez rodzinę Klez wirus plikowy W32/Elkern.C.

W dodatku Klez.I potrafi wyłączyć procesy działające w pamięci komputera, co jest o tyle niebezpieczne, że jednym z takich procesów jest stosowana w nowoczesnych programach antywirusowych permanentna ochrona. Ostatecznie robak usuwa z rejestru systemu wpisy uruchamiające system ochrony antywirusowej oraz narzędzia kontrolujące integralność dysku, sam zaś zapisuje się w autostarcie.

Zaleca się skorzystać z poprawki usuwającej "dziury" w zabezpieczeniach systemu Windows wykorzystywane przez wirusa: http://www.microsoft.com/technet/security/bulletin/MS01-020.ASP.

Źródło: www.wp.pl 

linki