Come difendersi dal virus Klez - 17-06-02 |
articolo di: Paolo Monti - 22/04/2002
di Luigi Manzo
Klez: il famoso virus che si riproduce attraverso le E-mail
Data la diffusione di vari worm sulla Rete, vi consigliamo di scaricarvi da questa pagina due tools molto utili per debellare (in questo caso) il worm Win32.Klez.E worm (compresa la variante H). Cliccate qui, e scorrete la pagina fino in fondo. Segnalo anche l'analisi fatta da Paolo Monti di http://www.avp.it/ "Si tratta di una nuova variante della famiglia di worm Klez (i worm sono particolari tipi di virus che si diffondono in reti di computer), in grado di propagarsi via e-mail e attraverso risorse condivise su rete locale. Il worm sembra particolarmente diffuso. Il Klez.h
infetta i file eseguibili come un virus di tipo "companion", creando una
copia nascosta del file originale e quindi sovrascrivendo quest'ultimo
con una copia di se stesso. Per diffondersi via posta elettronica, il worm cerca gli indirizzi dei potenziali destinatari all'interno della Rubrica di Windows, nel database di ICQ (se installato sul sistema) e dentro una serie di file presenti sul computer: · .mp8
Il messaggio infetto si presenta nel seguente modo: Da:
scelto in modo tra gli indirizzi trovati sul computer infettato
·
Undeliverable mail--"[Parola casuale]" La parola casuale è scelta nella seguente lista: · new Anche il
corpo del messaggio è composto da un testo selezionato in modo casuale. http://www.microsoft.com/technet/security/bulletin/MS01-020.asp Il virus si diffonde via e-mail sfruttando un proprio motore SMTP, senza l'ausilio di client di posta elettronica. Dettagli tecnici Quando viene eseguito, il worm copia se stesso nella cartella di sistema di Windows, usando il seguente nome Wink<caratteri casuali>.exe. Quindi modifica il registro di sistema creando una delle seguenti chiavi HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run o HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[caratteri casuali] Alle quali aggiunge come valore il nome del file creato nella cartella di sistema. In questo modo il worm verrà eseguito automaticamente ad ogni nuovo avvio di Windows. Il worm tenta di disattivare una serie di antivirus residenti in memoria e altri due worm eventualmente presenti sul sistema, Nimda e CodeRed. Quindi il worm rimuove le chiavi di registro usate dagli antivirus al fine di partire in automatico all'avvio di Windows e tenta di cancellare i loro database: ·
Anti-Vir.dat Il worm
si diffonde anche in rete locale, copiando se stesso nei drive remoti.
|