Email-Worm.Win32.Klez.e
Instalacja
Robak kopiuje si臋 do katalogu systemowego Windows z losowo generowan膮 naw膮, rozpoczynaj膮c膮 si臋 od "Wink", przyk艂adowo "Winkad.exe".
Infekowanie
Robak skanuje klucze rejestru systemowego w poszukiwaniu 艂膮czy do aplikacji:
SoftwareMicrosoftWindowsCurrentVersionApp Paths
Nast臋pnie robak usi艂uje zarazi膰 odnalezione aplikacje EXE. Podczas infekowania szkodnik tworzy plik posiadaj膮cy nazw臋 orygina艂u z dodanym losowym rozszerzeniem. Plik ten posiada nast臋puj膮ce atrybuty: ukryty, systemowy, tylko do odczytu. Wykorzystywany jest on przez robaka w celu uruchamiania zainfekowanego programu. W momencie uaktywnienia kopii wirus rozpakowuje oryginalny plik, dodaje do niego rozszerzenie MP8 i uruchamia.
Robak infekuje archiwa RAR kopiuj膮c si臋 do nich z nazw膮 wybieran膮 spo艣r贸d poni偶szych mo偶liwo艣ci:
- setup
- install
- demo
- snoopy
- picacu
- kitty
- play
- rock
Plik mo偶e posiada膰 podw贸jne rozszerzenie, a jedno z nich to: ".exe", ".scr", ".pif" lub ".bat".
Rozprzestrzenianie poprzez wiadomo艣ci e-mail
Temat zainfekowanej wiadomo艣ci mo偶e by膰 generowany losowo lub wybierany spo艣r贸d poni偶szych mo偶liwo艣ci:
- Hi,
- Hello,
- Re:
- Fw:
- how are you
- let's be friends
- darling
- don't drink too much
- your password
- honey
- some questions
- please try again
- welcome to my hometown
- the Garden of Eden
- introduction on ADSL
- meeting notice
- questionnaire
- congratulations
- sos!
- japanese girl VS playboy
- look,my beautiful girl friend
- eager to see you
- spice girls' vocal concert
- Japanese lass' sexy pictures
Robak mo偶e r贸wnie偶 generowa膰 temat wiadomo艣ci przy u偶yciu nast臋puj膮cych ci膮g贸w:
- Undeliverable mail--%%
- Returned mail--%%
- a %% %% game
- a %% %% tool
- a %% %% website
- a %% %% patch
- %% removal tools
gdzie znak % zast臋powany jest jednym z poni偶szych wyraz贸w:
- new
- funny
- nice
- humour
- excite
- good
- powful
- WinXP
- IE 6.0
- W32.Elkern
- W32.Klez
Tre艣膰 zainfekowanej wiadomo艣ci mo偶e by膰 pusta lub wygenerowana losowo.
Do wiadomo艣ci za艂膮czony jest uruchamialny plik Windows (PE EXE) posiadaj膮cy losowo wygenerowan膮 nazw臋 oraz rozszerzenie ".exe". Plik ten mo偶e r贸wnie偶 posiada膰 podw贸jne rozszerzenie.
Procedury dodatkowe
Sz贸stego dnia ka偶dego nieparzystego miesi膮ca robak wype艂nia losow膮 zawarto艣ci膮 wszystkie pliki zapisane na lokalnych i sieciowych dyskach. Jedynym sposobem odzyskania ich oryginalnej zawarto艣ci jest wykorzystanie kopii zapasowej.
Robak ko艅czy dzia艂anie proces贸w zawieraj膮cych w nazwie jeden z poni偶szych tekst贸w:
- Sircam
- Nimda
- CodeRed
- WQKMM3878
- GRIEF3878
- Fun Loving Criminal
- Norton
- Mcafee
- Antivir
- Avconsol
- F-STOPW
- F-Secure
- Sophos
- virus
- AVP Monitor
- AVP Updates
- InoculateIT
- PC-cillin
- Symantec
- Trend Micro
- F-PROT
- NOD32
Usuwanie robaka Klez.e
W celu pozbycia si臋 robaka Klez.e (oraz wszytkich innych modyfikacji tego wirusa) z komputera nale偶y skorzysta膰 z darmowego narz臋dzia CLRAV udost臋pnionego przez firm臋 Kaspersky Lab. Program wykonuje nast臋puj膮ce operacje:
- Zatrzymuje procesy robaka Klez znajduj膮ce si臋 w pami臋ci komputera;
- Usuwa pliki robaka zapisane na twardym dysku;
- Usuwa klucze utworzone przez robaka w rejestrze systemowym;
Narz臋dzie CLRAV umo偶liwia usuni臋cie z systemu tak偶e innych robak贸w internetowych: I-Worm.BleBla.b, I-Worm.Navidad, I-Worm.Sircam oraz I-Worm.Goner i dzia艂a we wszystkich wersjach systemu Windows
Narz臋dzie CLRAV mo偶na pobra膰 tutaj: