Email-Worm.Win32.Klez.e

Jest to modyfikacja robaka internetowego Klez. Rozprzestrzenia si臋 poprzez poczt臋 elektroniczn膮 w postaci pliku za艂膮czonego do wiadomo艣ci e-mail. Zainfekowane wiadomo艣ci mog膮 posiada膰 r贸偶ne tematy i nazwy za艂膮cznik贸w. Szkodnik wykorzystuje dziur臋 w zabezpieczeniach programu Internet Explorer zwan膮 IFRAME, dzi臋ki czemu aktywuje si臋 w momencie przegl膮dania zainfekowanej wiadomo艣ci - nie jest konieczne uruchomienie za艂膮cznika.

Instalacja

Robak kopiuje si臋 do katalogu systemowego Windows z losowo generowan膮 naw膮, rozpoczynaj膮c膮 si臋 od "Wink", przyk艂adowo "Winkad.exe".

Infekowanie

Robak skanuje klucze rejestru systemowego w poszukiwaniu 艂膮czy do aplikacji:

SoftwareMicrosoftWindowsCurrentVersionApp Paths

Nast臋pnie robak usi艂uje zarazi膰 odnalezione aplikacje EXE. Podczas infekowania szkodnik tworzy plik posiadaj膮cy nazw臋 orygina艂u z dodanym losowym rozszerzeniem. Plik ten posiada nast臋puj膮ce atrybuty: ukryty, systemowy, tylko do odczytu. Wykorzystywany jest on przez robaka w celu uruchamiania zainfekowanego programu. W momencie uaktywnienia kopii wirus rozpakowuje oryginalny plik, dodaje do niego rozszerzenie MP8 i uruchamia.

Robak infekuje archiwa RAR kopiuj膮c si臋 do nich z nazw膮 wybieran膮 spo艣r贸d poni偶szych mo偶liwo艣ci:

  • setup
  • install
  • demo
  • snoopy
  • picacu
  • kitty
  • play
  • rock

Plik mo偶e posiada膰 podw贸jne rozszerzenie, a jedno z nich to: ".exe", ".scr", ".pif" lub ".bat".

Rozprzestrzenianie poprzez wiadomo艣ci e-mail

Temat zainfekowanej wiadomo艣ci mo偶e by膰 generowany losowo lub wybierany spo艣r贸d poni偶szych mo偶liwo艣ci:

  • Hi,
  • Hello,
  • Re:
  • Fw:
  • how are you
  • let's be friends
  • darling
  • don't drink too much
  • your password
  • honey
  • some questions
  • please try again
  • welcome to my hometown
  • the Garden of Eden
  • introduction on ADSL
  • meeting notice
  • questionnaire
  • congratulations
  • sos!
  • japanese girl VS playboy
  • look,my beautiful girl friend
  • eager to see you
  • spice girls' vocal concert
  • Japanese lass' sexy pictures

Robak mo偶e r贸wnie偶 generowa膰 temat wiadomo艣ci przy u偶yciu nast臋puj膮cych ci膮g贸w:

  • Undeliverable mail--%%
  • Returned mail--%%
  • a %% %% game
  • a %% %% tool
  • a %% %% website
  • a %% %% patch
  • %% removal tools

gdzie znak % zast臋powany jest jednym z poni偶szych wyraz贸w:

  • new
  • funny
  • nice
  • humour
  • excite
  • good
  • powful
  • WinXP
  • IE 6.0
  • W32.Elkern
  • W32.Klez

Tre艣膰 zainfekowanej wiadomo艣ci mo偶e by膰 pusta lub wygenerowana losowo.

Do wiadomo艣ci za艂膮czony jest uruchamialny plik Windows (PE EXE) posiadaj膮cy losowo wygenerowan膮 nazw臋 oraz rozszerzenie ".exe". Plik ten mo偶e r贸wnie偶 posiada膰 podw贸jne rozszerzenie.

Procedury dodatkowe

Sz贸stego dnia ka偶dego nieparzystego miesi膮ca robak wype艂nia losow膮 zawarto艣ci膮 wszystkie pliki zapisane na lokalnych i sieciowych dyskach. Jedynym sposobem odzyskania ich oryginalnej zawarto艣ci jest wykorzystanie kopii zapasowej.

Robak ko艅czy dzia艂anie proces贸w zawieraj膮cych w nazwie jeden z poni偶szych tekst贸w:

  • Sircam
  • Nimda
  • CodeRed
  • WQKMM3878
  • GRIEF3878
  • Fun Loving Criminal
  • Norton
  • Mcafee
  • Antivir
  • Avconsol
  • F-STOPW
  • F-Secure
  • Sophos
  • virus
  • AVP Monitor
  • AVP Updates
  • InoculateIT
  • PC-cillin
  • Symantec
  • Trend Micro
  • F-PROT
  • NOD32

Usuwanie robaka Klez.e

W celu pozbycia si臋 robaka Klez.e (oraz wszytkich innych modyfikacji tego wirusa) z komputera nale偶y skorzysta膰 z darmowego narz臋dzia CLRAV udost臋pnionego przez firm臋 Kaspersky Lab. Program wykonuje nast臋puj膮ce operacje:

  • Zatrzymuje procesy robaka Klez znajduj膮ce si臋 w pami臋ci komputera;
  • Usuwa pliki robaka zapisane na twardym dysku;
  • Usuwa klucze utworzone przez robaka w rejestrze systemowym;

Narz臋dzie CLRAV umo偶liwia usuni臋cie z systemu tak偶e innych robak贸w internetowych: I-Worm.BleBla.b, I-Worm.Navidad, I-Worm.Sircam oraz I-Worm.Goner i dzia艂a we wszystkich wersjach systemu Windows

Narz臋dzie CLRAV mo偶na pobra膰 tutaj: