Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


I-Worm/Klez.E: nová mutace starého červa

  5:00aktualizováno  5:00
Autorům virů občas dochází fantazie, a tak se místo tvorbě nových virů věnují úpravě těch starých. Příkladem toho je například další varianta internetového červa Klez, kterou antivirové programy identifikují jako I-Worm/Klez.E. Stejně jako původní verze červa, i tato varianta využívá bezpečnostní díru "Incorrect MIME Header".

V průběhu minulého týdne se internetem začala šířit nová varianta internetového červa Klez, kterou antivirové programy identifikují jako I-Worm/Klez.E. Oproti své původní verzi přináší Klez.E celou řadu vylepšení...

Klez.E se instaluje do adresáře Windows\System jako soubor "WINKxxx.EXE", kde "xxx" představuje 2-3 náhodně vygenerované znaky, a zároveň Klez.E také vytvoří klíč v auto start registru. Napadá soubory typu .EXE s tím, že vynechává soubory nazvané: explorer, cmmgr, msimn, icwconn a winzip. Také vyhledává síťová sdílení a síťové disky, na které se zkopíruje. Poprvé jako spustitelný soubor a podruhé jako RAR archiv s jednoduchou nebo dvojitou příponou. Archivní soubor RAR obsahuje některý z následujících souborů: setup, install, demo, snoopy, picacu, kitty, play, rock. V případě, že je přípona RAR souboru dvojitá, tak první může být: .txt, .htm, .html, .wab, .doc, .xls, .jpg, .cpp, .c, .pas, .mpg, .mpeg, .bak nebo .mp3. Druhá nebo samotná přípona může být: .exe, .scr, .pif nebo .bat. Jméno archivního souboru typu RAR je tvořeno náhodně.

Tento červ ukončuje nejen procesy patřící antivirovým a bezpečnostním programům, ale také jiným virům a červům. Vyhledává je tak, že jednotlivé procesy otevírá a hledá v nich řetězce: Sircam, Nimda, CodeRed, WQKMM3878, GRIEF3878, Fun Loving Criminal, Norton, Mcafee, Antivir, Avconsol, F-STOPW, F-Secure, Sophos, virus, AVP Monitor, AVP Updates, InoculateIT, PC-cillin, Symantec, Trend Micro, F-PROT, NOD32 a na základě jména procesy ukončuje:_AVP32, _AVPCC, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, NAV, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVWNT, ANTIVIR, AVPUPD, AVGCTRL, AVWIN95, SCAN32, VSHWIN32, F-STOPW, F-PROT95, ACKWIN32, VETTRAY, VET95, SWEEP95, PCCWIN98, IOMON98, AVPTC, AVE32, AVCONSOL, FP-WIN, DVP95, F-AGNT95, CLAW95, NVC95, SCAN, VIRUS, LOCKDOWN2000, Norton, Mcafee, Antivir a TASKMGR. Zároveň odstraňuje automatický start klíče v registrech patřící bezpečnostním a antivirovým programům a likviduje tak rezidentní štíty. Pokouší se také ovlivňovat níže uvedené kontrolní soubory antivirových programů: ANTI-VIR.DAT, CHKLIST.DAT, CHKLIST.MS, CHKLIST.CPS, CHKLIST.TAV, IVB.NTZ, SMARTCHK.MS, SMARTCHK.CPS, AVGQT.DAT a AGUARD.DAT.

Kromě toho, že Klez.E sám o sobě může poškozovat spustitelné, binární a datové soubory, vypouští novou, mírně vylepšenou variantu viru ElKern.

Virus obsahuje skrytý text:

Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious
virus,Funlove,Sircam,Nimda,CodeRed and even include W32.Klez 1.X.
2.Well paid jobs are wanted
3.Poor life should be unblessed
4.Don"t accuse me.Please accuse the unfair sh*t world

Zprávy elektronické pošty, které I-Worm/Klez.E rozesílá, jsou tvořeny podle složitých pravidel a uživatelé se tak mohou setkat se značným množstvím jejich variant. E-mailové adresy čerpá z Windows Address Book a z databází ICQ klienta. Ke svému šíření využívá vlastní SMTP utilitu.

 


Nejčtenější

Ve dveřích se ohlédl a usmál. Na co nezapomene česká prokurátorka v Haagu

Anna Richterová v době, kdy pracovala pro tribunál v Den Haagu. Snímek je z...

Prokurátorka Anna Richterová je jedinou Češkou, která pracovala u mezinárodního tribunálu pro vyšetřování zločinů v...

Kennedyho sestru Rosemary zničili ambiciozní rodiče lobotomií

Kennedyho sestru zničili ambiciozní rodiče lobotomií

13. září 1918 se narodila Rosemary Kennedyová, sestra prezidenta Johna Fitzgeralda Kennedyho. Od dětství s ní byly...



Zelená Sahara, o hodinu delší den a rozpad Afriky. Co čeká naši planetu?

Budoucnost

Na základě současných poznatků dokážou vědci odhadnout, co se stane v daleké budoucnosti. Připravili jsme pro vás výběr...

Díru do ISS mohli navrtat Američané, tvrdila ruská média

Mezinárodní kosmická stanice ISS.

Američtí astronauti jsou podle ruské agentury Roskosmos nejpravděpodobnějšími viníky incidentu na ISS, při němž na...

Lákavá návnada. Jak se ruská agentka přibližovala k Trumpovi

Marija Butinová (19. 7. 2018)

Vyšetřování vlivu Moskvy na poslední americké volby se dostalo k zajímavému odhalení. Ruská agentka se podle něj...

Další z rubriky

Stáhněte si zdarma: e-mailový oznamovač s otevíráním poštovní schránky

Ilustrační foto - e-mail

Howard E-Mail Notifier schováte v informační části hlavní lišty a vždy když přijde e-mail, dá o tom vědět. Pro...

Revoluce pro programátory, nebo otravná funkce? Facebook ukázal SapFix

Facebook hodlá spustit vlastní kryptoměnu.

Facebook představil nástroj, který využívá prvky strojového učení k tomu, aby usnadnil práci programátorům. Konkrétně...

Fotomontáže jako nikdy dřív: Adobe se chlubí novou automatickou retuší

Adobe se pochlubil novými možnostmi filtru content-aware fill (automatické...

Adobe se pochlubil novými možnostmi automatického doplnění s ohledem na obsah. Do Adobe Photoshop CC by mělo dorazit v...

Najdete na iDNES.cz