Come difendersi dal virus Klez - 17-06-02

 

articolo di: Paolo Monti - 22/04/2002

da www.untruccoalgiorno.it

 

di Luigi Manzo

 

 

Klez: il famoso virus che si riproduce attraverso le E-mail

 

Data la diffusione di vari worm sulla Rete, vi consigliamo di scaricarvi da questa pagina due tools molto utili per debellare (in questo caso) il worm Win32.Klez.E worm (compresa la variante H). Cliccate qui, e scorrete la pagina fino in fondo.

Segnalo anche l'analisi fatta da Paolo Monti di http://www.avp.it/

"Si tratta di una nuova variante della famiglia di worm Klez (i worm sono particolari tipi di virus che si diffondono in reti di computer), in grado di propagarsi via e-mail e attraverso risorse condivise su rete locale. Il worm sembra particolarmente diffuso.

Il Klez.h infetta i file eseguibili come un virus di tipo "companion", creando una copia nascosta del file originale e quindi sovrascrivendo quest'ultimo con una copia di se stesso.
La copia nascosta viene cifrata dal worm e presenta lo stesso nome del file originale ma estensione selezionata in modo casuale.

Per diffondersi via posta elettronica, il worm cerca gli indirizzi dei potenziali destinatari all'interno della Rubrica di Windows, nel database di ICQ (se installato sul sistema) e dentro una serie di file presenti sul computer:

· .mp8
· .exe
· .scr
· .pif
· .bat
· .txt
· .htm
· .html
· .wab
· .asp
· .doc
· .rtf
· .xls
· .jpg
· .cpp
· .pas
· .mpg
· .mpeg
· .bak
· .mp3
· .pdf


Il worm invia un messaggio infetto a tutti gli indirizzi trovati, contenente in allegato una copia di se stesso. Inoltre, il worm può allegare anche un file non infetto avente una delle estensioni sopra elencate, causando di conseguenza l'invio di informazioni riservate.

Il messaggio infetto si presenta nel seguente modo:

Da: scelto in modo tra gli indirizzi trovati sul computer infettato
Oggetto: scelto in modo casuale
Allegato: nome scelto in modo casuale


Il messaggio inviato dal worm è composto da stringhe selezionate in modo casuale. L'oggetto può essere uno dei seguenti:

· Undeliverable mail--"[Parola casuale]"
· Returned mail--"[Parola casuale]"
· a [Parola casuale] [Parola casuale] game
· a [Parola casuale] [Parola casuale] tool
· a [Parola casuale] [Parola casuale] website
· a [Parola casuale] [Parola casuale] patch
· [Parola casuale] removal tools
· how are you
· let's be friends
· darling
· so cool a flash,enjoy it
· your password
· honey
· some questions
· please try again
· welcome to my hometown
· the Garden of Eden
· introduction on ADSL
· meeting notice
· questionnaire
· congratulations
· sos!
· japanese girl VS playboy
· look,my beautiful girl friend
· eager to see you
· spice girls' vocal concert
· japanese lass' sexy pictures

La parola casuale è scelta nella seguente lista:

· new
· funny
· nice
· humour
· excite
· good
· powful
· WinXP
· IE 6.0
· W32.Elkern
· W32.Klez.E
· Symantec
· Mcafee
· F-Secure
· Sophos
· Trendmicro
· Kaspersky

Anche il corpo del messaggio è composto da un testo selezionato in modo casuale.
Dal momento che il worm sfrutta una vulnerabilità di Internet Explorer, se il messaggio infetto viene aperto con una versione non aggiornata di Microsoft Outolook o Outlook Express, il worm può attivarsi in modo automatico, senza intervento da parte dell'utente. I dettagli relativi alla vulnerabilità di sicurezza posso essere reperiti a questo indirizzo:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Il virus si diffonde via e-mail sfruttando un proprio motore SMTP, senza l'ausilio di client di posta elettronica.

Dettagli tecnici

Quando viene eseguito, il worm copia se stesso nella cartella di sistema di Windows, usando il seguente nome

Wink<caratteri casuali>.exe.

Quindi modifica il registro di sistema creando una delle seguenti chiavi

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

o

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[caratteri casuali]

Alle quali aggiunge come valore il nome del file creato nella cartella di sistema. In questo modo il worm verrà eseguito automaticamente ad ogni nuovo avvio di Windows.

Il worm tenta di disattivare una serie di antivirus residenti in memoria e altri due worm eventualmente presenti sul sistema, Nimda e CodeRed. Quindi il worm rimuove le chiavi di registro usate dagli antivirus al fine di partire in automatico all'avvio di Windows e tenta di cancellare i loro database:

· Anti-Vir.dat
· Chklist.dat
· Chklist.ms
· Chklist.cps
· Chklist.tav
· Ivb.ntz
· Smartchk.ms
· Smartchk.cps
· Avgqt.dat
· Aguard.dat

Il worm si diffonde anche in rete locale, copiando se stesso nei drive remoti.
Anche questa variante del Klez rilascia come dropper il virus Win32.Elkern, copiandolo nella cartella Programmi con un nome scelto in modo casuale ed eseguendolo subito dopo. Questa particolare variante del virus Win32.Elkern possiede un algoritmo di cifratura potenziato rispetto alle versioni precedenti, in modo tale da renderlo meno facilmente identificabile da parte degli antivirus, ed è privo di effetti distruttivi.