Klez.e - epidemia? Lekarstwo gotowe!
Instalacja
Robak kopiuje się do katalogu systemowego Windows z losowo generowaną nawą, rozpoczynającą się od "Wink", przykładowo "Winkad.exe".
Infekowanie
Robak skanuje klucze rejestru systemowego w poszukiwaniu łączy do aplikacji:
Software\Microsoft\Windows\CurrentVersion\App Paths
Następnie robak usiłuje zarazić odnalezione aplikacje EXE. Podczas infekowania szkodnik tworzy plik posiadający nazwę oryginału z dodanym losowym rozszerzeniem. Plik ten posiada następujące atrybuty: ukryty, systemowy, tylko do odczytu. Wykorzystywany jest on przez robaka w celu uruchamiania zainfekowanego programu. W momencie uaktywnienia kopii wirus rozpakowuje oryginalny plik, dodaje do niego rozszerzenie MP8 i uruchamia.
Robak infekuje archiwa RAR kopiując się do nich z nazwą wybieraną spośród poniższych możliwości:
- setup
- install
- demo
- snoopy
- picacu
- kitty
- play
- rock
Plik może posiadać podwójne rozszerzenie, a jedno z nich to: ".exe", ".scr", ".pif" lub ".bat".
Rozprzestrzenianie poprzez wiadomości e-mail
Temat zainfekowanej wiadomości może być generowany losowo lub wybierany spośród poniższych możliwości:
- Hi,
- Hello,
- Re:
- Fw:
- how are you
- let's be friends
- darling
- don't drink too much
- your password
- honey
- some questions
- please try again
- welcome to my hometown
- the Garden of Eden
- introduction on ADSL
- meeting notice
- questionnaire
- congratulations
- sos!
- japanese girl VS playboy
- look,my beautiful girl friend
- eager to see you
- spice girls' vocal concert
- Japanese lass' sexy pictures
Robak może również generować temat wiadomości przy użyciu następujących ciągów:
- Undeliverable mail--%%
- Returned mail--%%
- a %% %% game
- a %% %% tool
- a %% %% website
- a %% %% patch
- %% removal tools
gdzie znak % zastępowany jest jednym z poniższych wyrazów:
- new
- funny
- nice
- humour
- excite
- good
- powful
- WinXP
- IE 6.0
- W32.Elkern
- W32.Klez
Treść zainfekowanej wiadomości może być pusta lub wygenerowana losowo.
Do wiadomości załączony jest uruchamialny plik Windows (PE EXE) posiadający losowo wygenerowaną nazwę oraz rozszerzenie ".exe". Plik ten może również posiadać podwójne rozszerzenie.
Procedury dodatkowe
Szóstego dnia każdego nieparzystego miesiąca robak wypełnia losową zawartością wszystkie pliki zapisane na lokalnych i sieciowych dyskach. Jedynym sposobem odzyskania ich oryginalnej zawartości jest wykorzystanie kopii zapasowej.
Robak kończy działanie procesów zawierających w nazwie jeden z poniższych tekstów:
- Sircam
- Nimda
- CodeRed
- WQKMM3878
- GRIEF3878
- Fun Loving Criminal
- Norton
- Mcafee
- Antivir
- Avconsol
- F-STOPW
- F-Secure
- Sophos
- virus
- AVP Monitor
- AVP Updates
- InoculateIT
- PC-cillin
- Symantec
- Trend Micro
- F-PROT
- NOD32
Usuwanie robaka Klez.e
W celu pozbycia się robaka Klez.e (oraz wszytkich innych modyfikacji tego wirusa) z komputera należy skorzystać z darmowego narzędzia CLRAV udostępnionego przez firmę Kaspersky Lab. Program wykonuje następujące operacje:
- Zatrzymuje procesy robaka Klez znajdujące się w pamięci komputera;
- Usuwa pliki robaka zapisane na twardym dysku;
- Skanuje wszystkie twarde dyski i leczy zainfekowane pliki;
- Usuwa droppery wirusa;
- W przypadku znalezienia biblioteki wirusa uruchamianej przy użyciu usługi winlogon, narzędzie zmienia nazwę takiej biblioteki i usuwa ją przy kolejnym uruchomieniu komputera;
- Usuwa klucze utworzone przez robaka w rejestrze systemowym;
Robak Klez.e zawiera również wirusa Win32.Klez.e, którego narzędzie CLRAV nie usuwa. Po zakończeniu działania narzędzia CLRAV i restarcie komputera należy przetestować dyski przy użyciu skanera antywirusowego, który wyleczy zainfekowane pliki.
Narzędzie CLRAV umożliwia usunięcie z systemu także innych robaków internetowych: I-Worm.BleBla.b, I-Worm.Navidad, I-Worm.Sircam oraz I-Worm.Goner i działa we wszystkich wersjach systemu Windows
Narzędzie CLRAV można pobrać tutaj:
Uaktualnienie systemu zabezpieczeń dla programów Internet Explorer i Outlook Express
http://www.microsoft.com/windows/ie/downloads/
critical/q290108/default.asp