Tecnolgie biomolecolari  
 
 Home > Editoriale > Maggio
GuestBook
Aggiungi ai preferiti
Editoriali
Contact
Cerca nel sito:

Site
Map
By FreeFind
Aggiornamenti sul sito personale di Riccardo Fallini

Maggio

Visto che il virus Klez sta spopolando.. ecco un paio di dritte.. e un piccolo programma per rimuoverlo .Il Klez.h infetta i file eseguibili come un virus di tipo "companion",
creando una copia nascosta del file originale e quindi sovrascrivendo quest'ultimo con una copia di se stesso.
La copia nascosta viene cifrata dal worm e presenta lo stesso nome del file originale ma estensione selezionata in modo casuale.
Per diffondersi via posta elettronica, il worm cerca gli indirizzi dei potenziali destinatari all'interno della Rubrica di Windows, nel database di ICQ (se installato sul sistema) e dentro una serie di file presenti sul computer.
Il worm invia un messaggio infetto a tutti gli indirizzi trovati, contenente in allegato una copia di se stesso. Inoltre, il worm può allegare anche un file non infetto avente una delle estensioni sopra elencate, causando di conseguenza l'invio di informazioni riservate.
Dal momento che il worm sfrutta una vulnerabilità di Internet Explorer, se il messaggio infetto viene aperto con una versione non aggiornata di Microsoft Outolook o Outlook Express, il worm può attivarsi in modo automatico, senza intervento da parte dell'utente. I dettagli relativi alla vulnerabilità di sicurezza posso essere reperiti a questo indirizzo.
Il virus si diffonde via e-mail sfruttando un proprio motore SMTP, senza l'ausilio di client di posta elettronica.

Dettagli tecnici:
Quando viene eseguito, il worm copia se stesso nella cartella di sistema di Windows, usando il seguente nome:
Wink<caratteri casuali>.exe.
Quindi modifica il registro di sistema creando una delle seguenti chiavi HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\Run o HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\Wink[caratteri casuali] Alle quali aggiunge come valore il nome del file creato nella cartella di sistema. In questo modo il worm verrà eseguito automaticamente ad ogni nuovo avvio di Windows.
Il worm tenta di disattivare una serie di antivirus residenti in memoria e altri due worm eventualmente presenti sul sistema, Nimda e CodeRed. Quindi il worm rimuove le chiavi di registro usate dagli antivirus al fine di partire in automatico all'avvio di Windows e tenta di cancellare i loro database.
Qui trovate lo scan and remove per le varianti
Klez a, c, e, f, g; Elkern a, b, d
Su http://virustop.interfree.it/ potete, dopo una registrazione gratuita, utilizzare un ottimo antivirus online in italiano