A Klez nevű féreg új variánsát először 2002 január 17-én észlelték, és Magyarországon is szaporodnak a jelentések a feltűnéséről. Ez a verzió számos új tulajdonsággal bír, és a 2.0 verziószámot kapta írójától. Még mindig tartalmaz hibákat, amelyek az előző verziókból maradtak benne.
Számos ponton különbözik azonban az elődjétől, és sajnos nem lett butább. A különbségek nagy része abban áll, hogy jóval sokoldalúbb lett a tevékenysége. Már fájlokat is megfertőz, képes hálózaton is terjedni. A féreg futtatható és adatállományokat is tönkre tud tenni. Saját SMTP rutinjait használja a levél elküldéséhez, tehát nincs szüksége telepített levelezőprogramra.
A féreg az Elkern vírus egy új verzióját is a gépre másolja ("1.1"-es verzió a szerző szerint) amit Win32.Klez.b néven is ismerünk.
Érdekes tulajdonsága, hogy nem csak az antivírus programok, hanem az ismert vírusok/férgek futó példányait is megöli (Nimda, Sircam, Funlove és CodeRed). A féreg az antivírus programok és biztonsági szoftverek indító kulcsait is eltávolítja a rendszerleíró adatbázisból, így a rendszer következő indulásakor ezek a programok részben vagy egészben nem fognak elindulni.
A féreg ellenőrző fájlokat is módosít a rejtőzködés érdekében.
A Klez.e által generált levelek komplex szabályok szerint készülnek, ezért nagy számú különböző levelet tud létrehozni. Mint minden Klez variáns, ez is az "Incorrect MIME Header (MS01-020) vulnerabilty"-t használja ki arra, hogy a melléklet automatikusan lefusson. Ehhez a megfelelő javítások a Microsoft oldalairól letölthetőek:
http://www.microsoft.com/technet/security/bulletin/MS01-027.asp
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
A Klez vírusok különböző változatai ellen használhatók az alábbi programok.
Klez.A-tól Klez.D-ig: az F-Secure FSKLEZ segédprogram:
ftp://ftp.europe.f-secure.com/anti-virus/tools/fsklez.exe
Klez.E ellen is alkalmas a CLRAV util a Kaspersky Labs cégtől:
http://www.2f.hu/files/utility/clrav.com
Kövesse az Indexet Facebookon is!
Követem!
