www.viasegre.com

 < < HOME

 < VIRUS WARNING

 EMAIL E FALSI
 DSN, cellulari gratis
 e donatori di midollo

 ROMA CAMPIONE
 d'Italia 2000/2001
 Le foto e altro...

 FANTACALCIO SBT
 S.Benedetto del
 Tronto 2002/03
 Il Forum all'interno!


Margin Walker


ROCCO Mailing List
ISCRIVITI alla
Mailing List
di Via Segre


I-WORM.KLEZ

Come infetta il tuo pc:
si copia come
krn132.exe, e
chiude l'antivirus


Come funziona:
lo stesso corpo
e l'allegato
sempre diverso


Conto alla rovescia:
ogni 13 giorni
o il sesto giorno


Come eliminarlo:
un utile tool
anche per altri worm



Tutte le informazioni sono state raccole da esperienze personali e dall'AVP Virus Encyclopedia.


Win32.Klez@mm, come il worm Badtrans, si avvia semplicemente aprendo il messaggio e quindi anche visualizzandone l'anteprima. Pesa circa 57-65 KB, ed è scritto con Microsoft Visual C++. Può assumere diversi nomi e il messaggio email non è identificabile con un oggetto preciso. Il worm sfrutta come al solito una vulnerabilità di Internet Explorer (IFRAME vulnerability) che gli permette di avviarsi anche solo aprendo il messaggio.

COME INFETTA IL TUO PC

Se il worm si avvia, copia se stesso nella cartella SYSTEM di Windows con il nome krn132.exe. Quindi scrive nel registro di Windows la chiave che gli permette di avviarsi assieme al sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run\Krn132=
C:\WINDOWS\SYSTEM\Krn132.exe

Il worm conosce inoltre una lista di processi appartenenti agli antivirus più noti che potrebbero essere attivi sul pc, e tenta di terminarli con il comando di Windows 'TerminateProcess'.

Inoltre per diffondersi in reti locali e attraverso messaggi email, il worm crea un file EXE che contiene il virus in una cartella temporanea, e lancia se stesso infettando gran parte dei file EXE presenti sugli hardisk. Il nome del file creato dal worm inizia sempre con la lettera 'K', ma la parte restante è generata casualmente.
Nelle reti locali Klez enumera i drive locali e le risorse di rete con accesso in scrittura e copia se stesso generando il suo nome in modo casuale, quindi registra le copie effettuate sui sistemi remoti come 'system service application'.

La variante Klez.e copia se stesso nella cartella SYSTEM di Windows con un nome casuale che inizia per 'WINK'.

COME FUNZIONA

Come per i worm più classici Klez cerca gli indirizzi email a cui spedirsi nella rubrica di Outlook (WAB), e invia i messaggi infetti attraverso il protocollo SMTP.
Il mittente del messaggio infetto non risulterà necessariamente un indirizzo reale, ma può essere generato casualmente. Allo stesso modo l'oggetto è casualmente selezionato da una lista, mentre il corpo dell'email è il seguente:
I'm sorry to do so,but it's helpless to say sory.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?


La procedura per selezionare il nome dell'allegato è invece più complessa, ma anche questa non nuova a worm di questo tipo. L'allegato ha estenzione EXE o una doppia estensione. In quest'ultimo caso il worm cerca negli hardisk files con estensioni TXT, HTM, HTML, DOC, JPG, BMP, XLS, CPP, MPG, MPEG, quindi ne seleziona uno ed aggiunge in fondo l'estensione EXE.

Il worm inoltre memorizza al suo interno, prima di inviarsi, tutti gli indirizzi email trovati.

CONTO ALLA ROVESCIA

Ogni 13 giorni nei mesi pari il worm esegue la payload riempiendo il contenuto di tutti i file su tutti i dischi disponibili con un contenuto casuale, file che rende quindi irrecuperabili.
La variante Klez.e esegue la stessa routine il sesto giorno di ogni mese dispari.

POSSIBILI SOLUZIONI

Un efficace tool per la pulizia del vostro pc lo trovate all'URL:
ftp://ftp1.avp.ch/utils/clrav.com


www.davidscerrati.too.it