![]() | |||||||||||||||||||||||||||||
|
:: wirus Sposoby rozprzestrzeniania się Klez.I rozsyła swoje kopie pocztą elektroniczną oraz infekuje pliki wykonywalne. Nie jest jeszcze znany rozmiar zniszczeń, jakie może powodować nowy wirus. Warto pamiętać, że najbardziej szkodliwy robak z rodziny Klez (odmiana .E) działał w ten sposób, że szóstego dnia każdego miesiąca starał się wyzerować (lub zastąpić dowolnymi śmieciami) pliki o następujących rozszerzeniach: txt, htm, html, wab, doc, xls, jpg, cpp, c, pas, mpg, mpeg, bak oraz mp3. Jeśli jednak miesiącem uaktywnienia był styczeń lub lipiec, wirus próbował zniszczyć wszystkie pliki na dysku, tak że jedyną szansa na ich odzyskanie pozostawało odtworzenie ich z kopii bezpieczeństwa (backup'u). Nowy robak dostaje się na komputer ofiary jako załącznik do wiadomości wyglądających podobnie do poniższych: Temat: A powful tool Temat: Worm Klez.E immunity Temat: A funny website Inne możliwe tematy: !supportEmptyParas Oprócz tego, tematy listów mogą mieć następujący format: Re: Fw: Undeliverable mail--"%s" gdzie %s to słowo wybierane losowo spośród poniższych: new W innych przypadkach temat może wyglądać tak: I %s you would %s it. gdzie %s to słowo wybierane losowo spośród: enjoy Działania i objawy Otwarcie załącznika, bądź to przez użytkownika, bądź automatycznie przez podgląd programu pocztowego (np. MS Outlook lub MS Outlook Express) powoduje natychmiastową aktywizację robaka. W pierwszej kolejności, już w momencie oglądania treści wiadomości, wirus rozsyła swoje kopie do wszystkich adresatów książki adresowej ofiary. Jednocześnie Klez.I wyzerowuje pliki .pe (portable executable) w systemie, niszcząc je w sposób nieodwracalny. Tworzy też plik Wink*.exe - jest to rozprowadzany przez rodzinę Klez wirus plikowy W32/Elkern.C. W dodatku Klez.I potrafi wyłączyć procesy działające w pamięci komputera, co jest o tyle niebezpieczne, że jednym z takich procesów jest stosowana w nowoczesnych programach antywirusowych permanentna ochrona. Ostatecznie robak usuwa z rejestru systemu wpisy uruchamiające system ochrony antywirusowej oraz narzędzia kontrolujące integralność dysku, sam zaś zapisuje się w autostarcie. Zaleca się skorzystać z poprawki usuwającej "dziury" w zabezpieczeniach systemu Windows wykorzystywane przez wirusa: http://www.microsoft.com/technet/security/bulletin/MS01-020.ASP. Źródło: www.wp.pl |
|
|||||||||||||||||||||||||||