31 stycznia 2002

Klez.e - epidemia? Lekarstwo gotowe!

Jest to modyfikacja robaka internetowego Klez. Rozprzestrzenia się poprzez pocztę elektroniczną w postaci pliku załączonego do wiadomości e-mail. Zainfekowane wiadomości mogą posiadać różne tematy i nazwy załączników. Szkodnik wykorzystuje dziurę w zabezpieczeniach programu Internet Explorer zwaną IFRAME, dzięki czemu aktywuje się w momencie przeglądania zainfekowanej wiadomości - nie jest konieczne uruchomienie załącznika.

Instalacja

Robak kopiuje się do katalogu systemowego Windows z losowo generowaną nawą, rozpoczynającą się od "Wink", przykładowo "Winkad.exe".

Infekowanie

Robak skanuje klucze rejestru systemowego w poszukiwaniu łączy do aplikacji:

Software\Microsoft\Windows\CurrentVersion\App Paths

Następnie robak usiłuje zarazić odnalezione aplikacje EXE. Podczas infekowania szkodnik tworzy plik posiadający nazwę oryginału z dodanym losowym rozszerzeniem. Plik ten posiada następujące atrybuty: ukryty, systemowy, tylko do odczytu. Wykorzystywany jest on przez robaka w celu uruchamiania zainfekowanego programu. W momencie uaktywnienia kopii wirus rozpakowuje oryginalny plik, dodaje do niego rozszerzenie MP8 i uruchamia.

Robak infekuje archiwa RAR kopiując się do nich z nazwą wybieraną spośród poniższych możliwości:

  • setup
  • install
  • demo
  • snoopy
  • picacu
  • kitty
  • play
  • rock

Plik może posiadać podwójne rozszerzenie, a jedno z nich to: ".exe", ".scr", ".pif" lub ".bat".

Rozprzestrzenianie poprzez wiadomości e-mail

Temat zainfekowanej wiadomości może być generowany losowo lub wybierany spośród poniższych możliwości:

  • Hi,
  • Hello,
  • Re:
  • Fw:
  • how are you
  • let's be friends
  • darling
  • don't drink too much
  • your password
  • honey
  • some questions
  • please try again
  • welcome to my hometown
  • the Garden of Eden
  • introduction on ADSL
  • meeting notice
  • questionnaire
  • congratulations
  • sos!
  • japanese girl VS playboy
  • look,my beautiful girl friend
  • eager to see you
  • spice girls' vocal concert
  • Japanese lass' sexy pictures

Robak może również generować temat wiadomości przy użyciu następujących ciągów:

  • Undeliverable mail--%%
  • Returned mail--%%
  • a %% %% game
  • a %% %% tool
  • a %% %% website
  • a %% %% patch
  • %% removal tools

gdzie znak % zastępowany jest jednym z poniższych wyrazów:

  • new
  • funny
  • nice
  • humour
  • excite
  • good
  • powful
  • WinXP
  • IE 6.0
  • W32.Elkern
  • W32.Klez

Treść zainfekowanej wiadomości może być pusta lub wygenerowana losowo.

Do wiadomości załączony jest uruchamialny plik Windows (PE EXE) posiadający losowo wygenerowaną nazwę oraz rozszerzenie ".exe". Plik ten może również posiadać podwójne rozszerzenie.

Procedury dodatkowe

Szóstego dnia każdego nieparzystego miesiąca robak wypełnia losową zawartością wszystkie pliki zapisane na lokalnych i sieciowych dyskach. Jedynym sposobem odzyskania ich oryginalnej zawartości jest wykorzystanie kopii zapasowej.

Robak kończy działanie procesów zawierających w nazwie jeden z poniższych tekstów:

  • Sircam
  • Nimda
  • CodeRed
  • WQKMM3878
  • GRIEF3878
  • Fun Loving Criminal
  • Norton
  • Mcafee
  • Antivir
  • Avconsol
  • F-STOPW
  • F-Secure
  • Sophos
  • virus
  • AVP Monitor
  • AVP Updates
  • InoculateIT
  • PC-cillin
  • Symantec
  • Trend Micro
  • F-PROT
  • NOD32

Usuwanie robaka Klez.e

W celu pozbycia się robaka Klez.e (oraz wszytkich innych modyfikacji tego wirusa) z komputera należy skorzystać z darmowego narzędzia CLRAV udostępnionego przez firmę Kaspersky Lab. Program wykonuje następujące operacje:

  • Zatrzymuje procesy robaka Klez znajdujące się w pamięci komputera;
  • Usuwa pliki robaka zapisane na twardym dysku;
  • Skanuje wszystkie twarde dyski i leczy zainfekowane pliki;
  • Usuwa droppery wirusa;
  • W przypadku znalezienia biblioteki wirusa uruchamianej przy użyciu usługi winlogon, narzędzie zmienia nazwę takiej biblioteki i usuwa ją przy kolejnym uruchomieniu komputera;
  • Usuwa klucze utworzone przez robaka w rejestrze systemowym;

Robak Klez.e zawiera również wirusa Win32.Klez.e, którego narzędzie CLRAV nie usuwa. Po zakończeniu działania narzędzia CLRAV i restarcie komputera należy przetestować dyski przy użyciu skanera antywirusowego, który wyleczy zainfekowane pliki.

Narzędzie CLRAV umożliwia usunięcie z systemu także innych robaków internetowych: I-Worm.BleBla.b, I-Worm.Navidad, I-Worm.Sircam oraz I-Worm.Goner i działa we wszystkich wersjach systemu Windows

Narzędzie CLRAV można pobrać tutaj:

Uaktualnienie systemu zabezpieczeń dla programów Internet Explorer i Outlook Express

http://www.microsoft.com/windows/ie/downloads/
critical/q290108/default.asp