I-Worm.Klez

Для выбора имени (name.ext) вложения червь использует оригинальный метод. Он сканирует все доступные диски, ищет на них файлы с расширением имени:

.txt
.htm
.doc
.jpg
.bmp
.xls
.cpp
.html
.mpg
.mpeg

и берет имя найденного файла (name.ext) как "базу" имени вложения, и затем добавляет второе расширение ".exe". Например: "Ylhq.htm.exe", "If.xls.exe" и т.п.

В заражённых письмах червь самостоятельно подставляет поле "From:". В зависимости от случайного счетчика червь либо подставляет туда реальный адрес отправителя, либо случайным образом генерирует фиктивный адрес, либоиспользует какой-либо реальный адрес, найденный на компьютере. В результате зараженное письмо отсылается якобы с адреса, который на самом деле никакого отношения к реально зараженному компьютеру не имеет.

Интересной особенностью червя является тот факт, что он при рассылке писем записывает в свой EXE-файл список найденных адресов электронной почты.

Все строки в теле вируса (тексты сообщений и адреса) хранятся в зашифрованном виде.

Распространение: локальные и сетевые диски

Червь перебирает все локальные диски, сетевые диски с правом доступа и копирует туда себя под случайным именем name.ext.exe (имя файла генерируется так же, как и имя вложения в заражённых письмах, см. выше). После копирования файла на сетевой ресурс червь регистрирует свои копии на заражённых компьютерах как системные приложения-сервисы.

Проявления

По 13-м числам чётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.

Другие версии

Известны несколько модификаций данного червя.

Версии "Klez.a-d" практически идентичны.
Версии "Klez.e-h" также практически идентичны (см. отличия версии :"h" ниже).

Klez.e

Запуск вируса

Червь устанавливает себя в системную папку Windows со случайным именем, которое начитается на "Wink", например, "Winkad.exe".

Заражение

Червь ищет ссылки на EXE-файлы в следующем ключе реестра:

Software\Microsoft\Windows\CurrentVersion\App Paths
Затем, червь пытается заразить найденные приложения. При заражении EXE файла, червь создаёт файл с оригинальным именем файла и случайным расширением, а также атрибутами скрытый+системный+только чтение. Этот файл используется червём для запуска оригинального (заражённого) файла. При запуске заражённого файла червь записывает оригинальное приложение во временный файл с тем же именем + "MP8" и запускает его.

Червь заражает RAR архивы, записывая в них свои копии со случайным именем.

Имя файла выбирается из списка:

setup
install
demo
snoopy
picacu
kitty
play
rock

К имени файла вирус добавляет два или одно расширения, последнее из которых - это ".exe", ".scr", ".pif" или ".bat".

Распространение: e-mail

Тема отсылаемых червём сообщений выбирается из следующего списка, или генерируется случайно:

Hi,
Hello,
Re:
Fw:
how are you
let's be friends
darling
don't drink too much
your password
honey some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look, my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures

Червь также может сгенерировать тему сообщения, используя строки из списка:

Undeliverable mail--%%
Returned mail--%%
a %% %% game
a %% %% tool
a %% %% website
a %% %% patch
%% removal tools

Где %% выбирается из списка:

new
funny nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez

Тело заражённых сообщений: пустое, или содержит случайный текст. Этот текст конструируется по некоторым правилам, в результате которых получается осмысленное сообщение:

Subject: A %1 %2
%1 %2
Body: This is a %1 %2
%3 or %4
где %1, %2 и %3 выбираются из вариантов:

%1 %2
special WinXP game new IE 6.0 website
funny W32.Elkern tool
nice W32.Klez patch
humour W32.Klez.E removal tools
excite
good
powful

%3 является строками:

This game is my first work.
You're the first player.
I wish you would enjoy it.
I hope you would enjoy it.
I expect you would enjoy it.

%4 содержит следующие строки:

%5 give you the %1 removal tools
%1 is a dangerous virus that spread through email.
%1 is a very dangerous virus that can infect on Win98/Me/2000/XP.
For more information, please visit http://www.%5.com
где %5 является именем одной из антивирусных компаний:

Symantec, Mcafee, F-Secure, Sophos, Trendmicro, Kaspersky
В результате получаются следующие письма:

A special new game
This is a new game
This game is my first work.
You're the first player.
I wish you would enjoy it.

A very funny website
This is a funny website
I hope you would enjoy it.

A very powful tool
Hello,This is a powful tool
I hope you would enjoy it.

A IE 6.0 patch
Hello,This is a IE 6.0 patch
I hope you would enjoy it.

W32.Elkern removal tools
Kaspersky give you the very W32.Elkern removal tools
W32.Elkern is a very dangerous virus that can infect on Win98/Me/2000/XP.
For more information, please visit http://www.Kaspersky.com

W32.Klez.E removal tools
W32.Klez.E is a dangerous virus that spread through email.
Kaspersky give you the W32.Klez.E removal tools
For more information, please visit http://www.Kaspersky.com

Присоединённый файл: Win32 PE EXE файл со случайным именем и расширением ".exe" или с двойным расширением.

Червь использует брешь в защите IFrame, чтобы запускаться автоматически при просмотре заражённых сообщений.

Проявления

По 6-м числам нечётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.

Другое

Червь случайно и в зависимости от различных условий добавляет к зараженному письму второй файл-вложение. Этот файл случайно выбирается на локальном диске из файлов, которые имеют расширения:

.txt .htm .html .wab .doc .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3
Т.е. такое письмо имеет два вложения - копия червя и случайно выбранный файл. Таким образом, действия червя могут привести к утечке персональной или конфиденциальной информации.

Червь ищет среди активных процессов те, которые содержат строки из следующего списка, и принудительно закрывает их:

Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
Virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32

Klez.h

Практически полностью совпадает с вариантом "Klez.e". Отличия:

Этот вариант червя не портит файлы (в коде червя данная процедура отсутствует). Расширен список вариантов полей Тема и Текст зараженных писем (Subject/Body). Одним из вариантов писем является следующий текст:

Worm Klez.E immunity
Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select "continue".
If you have any question,please mail to me.

Червь в некоторых случаях добавляет к зараженному письму второй файл-вложение с одним из расширений:

.txt .htm .html .wab .doc .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3
Этот файл случайно выбирается на локальном диске, что может привести к утечке персональной или конфиденциальной информации.

Червь также содержит текст:

Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work. No more than three weeks from having such idea to accomplishing coding and testing

Как вылечить компьютер, заражённый вирусом I-Worm.Klez?

1) отключите зараженный компьютер от локальной сети (если он в сети)
2) запустите утилиту clrav.com

Если утилита говорит "nothing to clean" (нечего удалять), запустите её в режиме сканирования командных файлов: из командной строки с параметром /scanfiles

4) перегрузите машину в режиме Safe Mode
5) запустите утилиту clrav.com еще раз
6) переустановите антивирусный пакет и обновите антивирусные базы
7) запустите антивирусный сканер и проверьте все диски

Все машины в локальной сети следует пролечить отдельно.