Deşi iniţial aveam de gând ca în acest număr să mă refer doar la vacanţe şi concedii, o ştire citită recent m-a făcut să mă răzgândesc măcar parţial. Citisem în urmă cu ceva timp că un nou virus, pe numele sau Klez, apăruse şi se distribuia pe Internet. L-am privit ca pe unul din mulţii apăruţi şi am ales să îl ignor.
Se pare însă că la câteva luni de la apariţie klez, în variantele sale, Klez.h, Klez.g si Klez.k a reuşit să infecteze aproape 1% dintre utilizatorii de internet. Kaperski Labs, firma rusească ce a reuşit să îl identifice şi să îl înţeleagă explică mai pe larg modul de funcţionare.
Acest virus infectează sisteme ce rulează Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, dar nu are capacitatea de a infecta computere ce folosesc drept sistem de operare variante de Macintosh, Unix sau Linux. A suferit destule schimbări, şi, cu eventuale modificări poate fi găsit sub nume variate dintre care W32/Klez.h@MM, WORM_KLEZ.H, W32/Klez-G, I-Worm.Klez.h, Klez.H, W32/Klez.H, Win32.Klez.H, WORM_KLEZ.I.
Ca tip de transmitere, klezul este un vierme (worm), capabil de a se autoreplica, fără a fi necesară nici o activitate din partea utilizatorului. Conform criteriilor de evaluare Symantec riscul de replicare este ridicat, distrugerile cauzate sunt considerate medii, iar dezinfecţia foarte dificilă.
Viermele replică fişierele executabile, versiunea originală fiind transformată într-un fişier hidden cu o extensie aleatoare, fiind păstrat noul fişier infectat. Odată pătruns în calculator, acesta va scana fişiere existente, lista de adrese Outlook şi cea ICQ pentru a găsi adrese de email. Odată găsite adrese de email, acesta se va retransmite automat într-un email, ca attachement, alegând în acelaşi timp, aleator, un fişier de pe harddisk ca attachement. Mai mult, înainte de a se retransmite va căuta pe harddisk unul dintre fişierele din lista de mai jos, fişiere folosite de obicei de antiviruşi:
Anti-Vir.dat
Chklist.dat
Chklist.ms
Chklist.cps
Chklist.tav
Ivb.ntz
Smartchk.ms
Smartchk.cps
Avgqt.dat
Aguard.dat
În cazul în care unul dintre aceste fişiere este localizat, Klezul îl va şterge, încercând astfel să preîntâmpine o detectare a sa de către un astfel de program. Va încerca de asemenea să şteargă din regiştrii cheile unor astfel de software-uri.
Emailul iniţitat de vierme va avea un subiect ales aleator dintr-o listă, la fel cum numele attachementelor vor fi generate pe loc. Subiectul mesajului poate fi unul dintre următoarele:
Worm Klez.E immunity
Undeliverable mail–“[CUVÂNT ALEATOR]”
Returned mail–“[Random word]”
a [CUVÂNT ALEATOR] [CUVÂNT ALEATOR] game
a [CUVÂNT ALEATOR] [CUVÂNT ALEATOR] tool
a [CUVÂNT ALEATOR] [CUVÂNT ALEATOR] website
a [CUVÂNT ALEATOR] [CUVÂNT ALEATOR] patch
[CUVÂNT ALEATOR] removal tools
how are you
let’s be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls’ vocal concert
japanese lass’ sexy pictures
În loc de [CUVÂNT ALEATOR], Klezul va alege la întâmplare unul dintre cuvintele:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky.
Avertismentul primit recent în privinţa klezului ţine de faptul că numeroase companii au reclamat scurgerea de informaţii, virmele alegând ca attachement fişiere ce conţineau date confidenţiale. Ultimele variante aleg drept attachement fişiere cu extensiile .mp8,.txt,.htm,.html,.wab,.asp,.doc,.rtf,.xls,.jpg,.cpp,.pas,.mpg,.mpeg,.bak,.mp3 sau .pdf.
Pentru a vă dezinfecta computerul în cazul unei infecţii vă recomand:
http://securityresponse.symantec.com/avcenter/FixKlez.com, adresa unde veţi găsi un program gratis pentru download şi instrucţiuni de folosire. Mai multe programe similare puteţi găsi pe google.com, însă încercaţi să fiţi sigur că ceea ce descărcaţi aparţine unei firme recunoscute precum MacAffee sau Symantec.
bogdan.nita@ealliance.ro