|
I-Worm.Klez Для выбора имени (name.ext) вложения червь использует оригинальный метод. Он сканирует все доступные диски, ищет на них файлы с расширением имени: .txt и берет имя найденного файла (name.ext) как "базу" имени вложения, и затем добавляет второе расширение ".exe". Например: "Ylhq.htm.exe", "If.xls.exe" и т.п. В заражённых письмах червь самостоятельно подставляет поле "From:". В зависимости от случайного счетчика червь либо подставляет туда реальный адрес отправителя, либо случайным образом генерирует фиктивный адрес, либоиспользует какой-либо реальный адрес, найденный на компьютере. В результате зараженное письмо отсылается якобы с адреса, который на самом деле никакого отношения к реально зараженному компьютеру не имеет. Интересной особенностью червя является тот факт, что он при рассылке писем записывает в свой EXE-файл список найденных адресов электронной почты. Все строки в теле вируса (тексты сообщений и адреса) хранятся в зашифрованном виде. Распространение: локальные и сетевые диски Червь перебирает все локальные диски, сетевые диски с правом доступа и копирует туда себя под случайным именем name.ext.exe (имя файла генерируется так же, как и имя вложения в заражённых письмах, см. выше). После копирования файла на сетевой ресурс червь регистрирует свои копии на заражённых компьютерах как системные приложения-сервисы. Проявления По 13-м числам чётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий. Другие версии Известны несколько модификаций данного червя. Версии "Klez.a-d"
практически идентичны.
Запуск вируса Червь устанавливает себя в системную папку Windows со случайным именем, которое начитается на "Wink", например, "Winkad.exe". Заражение Червь ищет ссылки на EXE-файлы в следующем ключе реестра: Software\Microsoft\Windows\CurrentVersion\App
Paths Червь заражает RAR архивы, записывая в них свои копии со случайным именем. Имя файла выбирается из списка: setup К имени файла вирус добавляет два или одно расширения, последнее из которых - это ".exe", ".scr", ".pif" или ".bat". Распространение: e-mail Тема отсылаемых червём сообщений выбирается из следующего списка, или генерируется случайно: Hi, Червь также может сгенерировать тему сообщения, используя строки из списка: Undeliverable
mail--%%
new Тело заражённых сообщений: пустое, или содержит случайный текст. Этот текст конструируется по некоторым правилам, в результате которых получается осмысленное сообщение: Subject:
A %1 %2 %1
%2 %3 является строками: This
game is my first work.
%5
give you the %1 removal tools Symantec, Mcafee, F-Secure,
Sophos, Trendmicro, Kaspersky A
special new game A very funny
website
A IE 6.0 patch W32.Elkern removal
tools W32.Klez.E removal
tools Присоединённый файл: Win32 PE EXE файл со случайным именем и расширением ".exe" или с двойным расширением. Червь использует брешь в защите IFrame, чтобы запускаться автоматически при просмотре заражённых сообщений. Проявления По 6-м числам нечётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий. Другое Червь случайно и в зависимости от различных условий добавляет к зараженному письму второй файл-вложение. Этот файл случайно выбирается на локальном диске из файлов, которые имеют расширения: .txt .htm .html .wab
.doc .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3 Червь ищет среди активных процессов те, которые содержат строки из следующего списка, и принудительно закрывает их: Sircam Klez.h Этот вариант червя не портит файлы (в коде червя данная процедура отсутствует). Расширен список вариантов полей Тема и Текст зараженных писем (Subject/Body). Одним из вариантов писем является следующий текст: Worm Klez.E immunity Червь в некоторых случаях добавляет к зараженному письму второй файл-вложение с одним из расширений: .txt .htm .html .wab
.doc .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3 Червь также содержит текст: Win32 Klez V2.01 &
Win32 Foroux V1.0 Как вылечить компьютер, заражённый вирусом I-Worm.Klez? 1) отключите зараженный
компьютер от локальной сети (если он в сети) Если утилита говорит "nothing to clean" (нечего удалять), запустите её в режиме сканирования командных файлов: из командной строки с параметром /scanfiles 4) перегрузите машину
в режиме Safe Mode Все машины в локальной сети следует пролечить отдельно. |
Дизайн и техническая
поддержка: Мишин Олег (mishinoleg@mail.ru)
При использовании информации ссылка на автора обязательна. Коммерческое использование информации без согласия автора запрещается. |