Miklós
-7 °C
2 °C

A Klez.E vírus új változata sokat fejlődött

2002.02.08. 11:52
A Klez nevű féreg új variánsát először 2002 január 17-én észlelték, és Magyarországon is szaporodnak a jelentések a feltűnéséről. Ez a verzió számos új tulajdonsággal bír, és a 2.0 verziószámot kapta írójától. Még mindig tartalmaz hibákat, amelyek az előző verziókból maradtak benne.
Számos ponton különbözik azonban az elődjétől, és sajnos nem lett butább. A különbségek nagy része abban áll, hogy jóval sokoldalúbb lett a tevékenysége. Már fájlokat is megfertőz, képes hálózaton is terjedni. A féreg futtatható és adatállományokat is tönkre tud tenni. Saját SMTP rutinjait használja a levél elküldéséhez, tehát nincs szüksége telepített levelezőprogramra.

A féreg az Elkern vírus egy új verzióját is a gépre másolja ("1.1"-es verzió a szerző szerint) amit Win32.Klez.b néven is ismerünk.

Érdekes tulajdonsága, hogy nem csak az antivírus programok, hanem az ismert vírusok/férgek futó példányait is megöli (Nimda, Sircam, Funlove és CodeRed). A féreg az antivírus programok és biztonsági szoftverek indító kulcsait is eltávolítja a rendszerleíró adatbázisból, így a rendszer következő indulásakor ezek a programok részben vagy egészben nem fognak elindulni.

A féreg ellenőrző fájlokat is módosít a rejtőzködés érdekében.

A Klez.e által generált levelek komplex szabályok szerint készülnek, ezért nagy számú különböző levelet tud létrehozni. Mint minden Klez variáns, ez is az "Incorrect MIME Header (MS01-020) vulnerabilty"-t használja ki arra, hogy a melléklet automatikusan lefusson. Ehhez a megfelelő javítások a Microsoft oldalairól letölthetőek:

http://www.microsoft.com/technet/security/bulletin/MS01-027.asp
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

A Klez vírusok különböző változatai ellen használhatók az alábbi programok.

Klez.A-tól Klez.D-ig: az F-Secure FSKLEZ segédprogram:
ftp://ftp.europe.f-secure.com/anti-virus/tools/fsklez.exe

Klez.E ellen is alkalmas a CLRAV util a Kaspersky Labs cégtől:
http://www.2f.hu/files/utility/clrav.com