|
|||
I-Worm/Klez.H & Win32/ElKernVarianta I-Worm/Klez.H se šíří e-mailem s jednou nebo dvěma přílohami. První příloha je vlastní virus, druhá příloha může být náhodně vybraný dokument z napadeného počítače. Worm využívá bezpečnostní díru (IFRAME exploit), díky které se může na některých systémech aktivovat při pouhém prohlédnutí infikované zprávy. Infikovaná zpráva má Předmět/Subjekt vybraný z následujícího seznamu: Hi, Hello, Re: Fw: Undeliverable mail--"%s" Returned mail--"%s" a %s %s game a %s %s tool a %s %s website a %s %s patch %s removal tools How are you let's be friends darling so cool a flash,enjoy it your password honey some questions please try again welcome to my hometown the Garden of Eden introduction on ADSL meeting notice questionnaire congratulations sos! japanese girlVS playboy look,my beautiful girl friend eager to see you spice girls' vocal concert japanese lass' sexy pictures kde místo znaku %s je použito některé z těchto slov: new funny nice humour excite good powful WinXP IE 6.0 W32.Elkern W32.Klez.E Tělo zprávy je sestaveno z poměrně velké databáze textů (anglických). Kuriózní variantou, jak se worm prezentuje, je následující text mailu, ve kterém se nabízí jako nástroj na odstranění svého předchůdce I-Worm/Klez.E: Worm Klez.E immunity Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV so ftware can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monit or maybe cry when you run it. If so,Ignore the warning,and select 'continue'. Po aktivaci se worm, podobně jako předchozí verze, zkopíruje do systémového adresáře Windows a zajistí své spuštění pomocí klíčů v registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\System\CurrentControlSet\Services
Dále se worm rozešle na adresy obsažené ve Windows Address Booku, přičemž zfalšuje jméno odesílatele náhodně vybranou
adresou. _AVP32 NAVLU32 NAVWNT SWEEP95 _AVPCC NAVRUNR ANTIVIR PCCWIN98 NOD32 NAVW32 AVPUPD IOMON98 NPSSVC _AVPM AVGCTRL AVPTC NRESQ32 ALERTSVC AVWIN95 AVE32 NSCHED32 AMON SCAN32 AVCONSOL NSCHEDNT AVP32 VSHWIN32 FP-WIN NSPLUGIN AVPCC F-STOPW DVP95 NAV AVPM F-PROT95 F-AGNT95 NAVAPSVC N32SCANW ACKWIN32 CLAW95 NAVAPW32 VET95 VETTRAY NVC95 a maže tyto antivirové databáze: ANTI-VIR.DAT CHKLIST.DAT CHKLIST.MS CHKLIST.CPS CHKLIST.TAV IVB.NTZ SMARTCHK.MS SMARTCHK.CPS AVGQT.DAT AGUARD.DAT
Kromě vlastní činnosti worm vypouští do napadeného počítače novou variantu viru Win32/ElKern. Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG
Pokud jde o počítačovou síť LAN, je nutné VŠECHNY počítače FYZICKY odpojit od sítě a provést jejich dezinfekci. Jakmile jsou VŠECHNY PC v pořádku, pak teprve celou LAN znovu "nahodit". Přímo v prostředí Windows spusťte jednoúčelový antivirus FIXKLEZ.COM a odstraňte pomocí něj virus Win32/Klez.H i vypuštěný virus Win32/ElKern. Nezapomeňte, že virus vytváří na pevném disku .RAR archivy, obvykle je tyto souboru nutno mazat ručně, proto si doporučuji poznamenat jejich umístění. Řada antivirů totiž nedokáže s obsahem archivů manipulovat. Pro klid duše doporučuji nainstalovat tuto záplatu, která "zašpuntuje" díru v MS Outlooku. |
|||
|