Bizalmas dokumentumokat szivárogtat a Klez vírus

navarro

2002. április 22., hétfő 12:07

A Klez vírus legújabb variánsa bizalmas dokumentumokat is továbbíthat a fertőzött gépről. A W32.Klez.H bizonyos esetekben a fertőzött levél megnyitása nélkül, automatikusan is képes elindulni. A vírus továbbküldi magát a gépen található email-címekre, és gyakran ezekhez a levelekhez fájlokat is csatol, melyek akár bizalmas információkat is tartalmazhatnak.

A Klez vírus legújabb variánsa akár bizalmas információkat is továbbíthat a megtámadott felhasználó számítógépéről - hívta fel a figyelmet egy vírusirtó szoftvereket gyártó cég, az orosz Kaspersky Labs szakértője. A vírus átvizsgálja a fertőzött gép merevlemezeit, és bizonyos körülmények között minden egyes elküldött levélhez egy fájlt csatol. Ezek lehetnek szöveges-, excel-, html- és Adobe Acrobat-fájlok, de képek, videók, vagy zenék is. A jelenség nem új: ugyanezt teszi a SirCam nevű féreg is, amely tavaly bukkant fel, és még mindig terjed az interneteten.

Vírusdömping

Az új változatot a brit MessageLabs, egy emailekkel foglalkozó biztonsági cég múlt hétfőn fedezte fel. A legtöbb antivírus-cég, mint a McAfee, a Symantec vagy a Sophos szerda óta biztosítja a vírus eltávolítására szolgáló eszközöket. A Norton-termékeket gyártó Symantec ötfokozatú veszélyességi skáláján a hármas szintre helyezte az új Klez-változatot, melyet W32.Klez.H-nak nevezett el. A korábbi verziókat még a második szintre sorolta. A MessageLabs szerint a féreg terjedése péntek délután tetőzött: ekkora már szinte minden 77-ik levél fertőzött volt. A legtöbb ilyen emailt Nagy-Britanniában találták, ezt követte Hong-Kong és az Egyesült Államok.

Kinyitás nélkül támad

A vírusnak a fertőzéshez gyakran nincs szüksége arra, hogy a címzett megnyissa a levelet. Ehelyett a Microsoft Outlook egy biztonsági rését használja ki, mely lehetővé teszi a beágyzott MIME-állományok (ezek az emailekhez csatolt formázott állományok) automatikus futását. Ez a bug már egy éve ismert, így csak azoknál a felhasználóknál tud a program automatikusan elindulni, akik azóta nem frissítették a levelezőjüket. A Klez összegyűjti a gépen található email-címeket, és a saját levelezőprogramjával küldi el azokra saját magát. A 'feladó'-rovatot átírja, így elrejti az email valódi származási helyét, és címsorba véletlenszerűen választ 120 lehetőség közül egyet. A vírusirtó-programokat is megpróbálja kiiktatni regisztrációs bejegyzések és vírusdefiníciók törlésével, illetve a futó alkalmazások leállításával. A Klez.H a Kaspersky Labs szerint korábbi verzióival szemben nem semmisít meg tárolt adatokat.

Ismerje meg ellenségét

Az Index szerkesztőségébe is folyamatosan érkeznek a fertőzött levelek. Jó eséllyel elkerülhető a vírus támadása, ha a felhasználók törlik a 90-100 Kbyte-nál nagyobb, ismeretlen csatolt állományt tartalmazó leveleket, akár ismert a feladójuk, akár nem. Bár a tájékoztatás szerint a vírus megváltoztatja a 'feladó'-mezőt, az Index Vírusügyi Kutatócsoportjának munkatársai már találkoztak ismerős címéről érkezett vírussal is. Lentebb a Kaspersky Labs és a Symantec által megjelentetett víruseltávolító-eszközökre mutatnak linkek. Érdemes felkeresni a Microsoft honlapját is a biztonsági javításokért.