WORM_KLEZ.E
inaczej W32.Klez.E@mm, KLEZ, uwaga: nowa groźna
odmiana wirusa: KLEZ.G, W32/Klez-G, I-Worm.Klez.h, I-Worm.W32/Klez.gen@MM, W32.Klez.H@mm
Po uruchomieniu wirus instaluje się w
pamieci maszyny. Później kopiuje swój kod do pliku WINK*.EXE,
umieszczany z atrybutem Ukryty (hidden) w katalogu systemowym Windows.
* reprezentuje ciąg przypadkowo dobranych znaków. Modyfikowane są następujące
rejestry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run, Wink*, "wink*.exe"
Wirus rozpowszechnia się poprzez email. Rozsyła wiadomości korzystając z własnych
mechanizmów SMTP. Wykrada adresy z Windows Address Book (WAB) oraz plików:
MP8, EXE, SCR, PIF, BAT, TXT, HTM, HTML, WAB, DOC, XLS,
CPP, C, PAS, MPQ, MPEG, BAK, MP3
zainfekowanego komputera:
Z przechwyconych list adresów ofiary są wybierane losowo, podobnie jak
adresy umieszczane w polu "Od" (From). W tym ostatnim przypadku
wirus może korzystać także z zestawu następujących adresów:
pw246@columbia.edu
queen@helix.com.hk
yaya@wfc.com.tw
atoz@2911.net
anti@helix.com.hk
graph@helix.com.hk
street@verizon.net
sani@2911.net
santurn@verizon.net
andy@verizon.net
little@hitel.net
gigi@helix.com.hk
bet@helix.com.hk
lily@88win.com
sun@verizon.net
linda@verizon.net
raise@wfc.com.tw
rainrainman@hongkong.com
karala@hongkong.com
sammychen@wfc.com.tw
flywind@wfc.com.tw
suck@wfc.com.tw
urlove@wfc.com.tw
tutu@88win.com
cheu@2911.net
xyz@2911.net
pet@2911.net
girl@edirect168.com
littlecat@hongkong.com
panshugang@chinese.com
pipti@21cn.com
certpass@21cn.com
powerhero@263.net
CR7269CH@terra.es
RUBENSOTOAGUI@terra.es
ACAMDR@terra.es
ol-petech@terra.
es ROSANAMOLTO@terra.es
MANUEL23@terra.es
cristian_soto@terra.es
carlos_nuevo@terra.es
Ponieważ wirus wykorzystuje znane już dziury w systemach Microsoft, ofiara
nie musi uruchomić załącznika otrzymanej, zainfekowanej przesyłki.
Wystarczy, że otworzy pocztę.
Wirus rozpowszechnia się także przez współdzielone napędy i foldery z
udostępnioną opcją zapisu (read/write). Przenosi się w postaci plików o
losowo wygenerowanych nazwach i następujących rozszerzeniach:
EXE, PIF, COM, BAT, SCR, RAR
Okazjonalnie kopiuje się także do plików z dwoma rozszerzeniami. Pierwszym:
MP8
EXE
SCR
PIF
BAT
TXT
HTM
HTML
WAB
DOC
XLS
CPP
C
PAS
MPQ
MPEG
BAK
MP3
oraz drugim:
EXE
PIF
COM
BAT
SCR
RAR
Uwaga na szóstki !
Każdego 6 dnia nieparzystego miesiąca (styczeń, marzec, maj, lipiec,
wrzesień, listopad) wirus może nadpisać pliki o poniższych rozszerzeniach:
TXT
HTM
HTML
WAB
DOC
XLS
CPP
C
PAS
MPEG
MPG
BAK
MP3
JPG
Interesującą cechą wirusa jest możliwość wyłączenia i skasowania plików
następujących programów antywirusowych :
_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR2
Ponadto skanowane i usuwane są klucze rejestrów:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
a także usuwane pliki :
ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT
Procedury ukrywania
W systemach Windows 98/95, robak zapisuje się jako proces obsługi, w związku
z tym nie jest widoczny w zestawieniu wykonywanych zadań. W Windows 2000 jest
zarejestrowany jako koordynator procesów obsługi i jest wywoływany każdorazowo
przy restarcie systemu.
W kodzie wirusa można odszukać następujący tekst:
Win32 Klez V2.0 & Win32 Elkern V1.1, (There nickname is Twin Virus
*^__^*
Copyright, made in Asia, announcement:
1. I will try my best to protect the user from vicious virus,
Funlove,Sircam,Nimda,Codered, and even include W32.Klez.1.X
2. Well paid jobs are wanted.
3. Poor life should be unblessed.
4. Don’t accuse me, please accusse the unfair sh*t world.
oraz:
Win32 Klez V2.01 & Win32
Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from having
such. idea to accomplishing coding and testing - dla wersji oznaczonej
literą G
Jak usunąć ?
Najprościej jest skorzystać z opracowanego przez Trend
Micro narzędzi: fix_klez.com,
fix_worm_klez_3.11.zip,
fix_worm_klez_421.zip
Przed zastosowaniem programu dobrze jest zapoznać się z tekstem krótkiej
instrukcji: readme_klez.txt.
Skanować system przy pomocy oprogramowania Trend Micro i usunąć
wszystkie pliki zidentyfikowane jako WORM_KLEZ.E a także WORM_KLEZ.G.
Można także spróbować usunąć wirus następująco:
Skanować zasoby i oznaczyć wszystkie zainfekowane pliki o nazwach: WINK*.EXE
oraz skasować pliki WORM_KLEZ.E, WORM_KLEZ.G. Stosować programy z
najnowszymi wzorcami wirusów oraz wersjami motoru
skanującego.
Następnie uruchomić edytor regedit.
Wskazać i kliknąć na :
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows
>CurrentVersion>Run
W prawym panelu odszukac i usunąć Wink*, "wink*.exe"
Podobnie usunąć wszystkie wartość o nazwach odpowiadajacych nazwom plików
wykrytym podczas skanowania.
KLEZ korzysta z dziur w systemach MS Outlook oraz Outlook
Express, należy wprowadzić najnowsze uaktualnienia tych produktów oraz
łaty dla Explorer 5.01 SP2, IE 5.5 SP2,IE 6.0
