Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


I-Worm/Klez.E: nová mutace starého červa

  5:00aktualizováno  5:00
Autorům virů občas dochází fantazie, a tak se místo tvorbě nových virů věnují úpravě těch starých. Příkladem toho je například další varianta internetového červa Klez, kterou antivirové programy identifikují jako I-Worm/Klez.E. Stejně jako původní verze červa, i tato varianta využívá bezpečnostní díru "Incorrect MIME Header".

V průběhu minulého týdne se internetem začala šířit nová varianta internetového červa Klez, kterou antivirové programy identifikují jako I-Worm/Klez.E. Oproti své původní verzi přináší Klez.E celou řadu vylepšení...

Klez.E se instaluje do adresáře Windows\System jako soubor "WINKxxx.EXE", kde "xxx" představuje 2-3 náhodně vygenerované znaky, a zároveň Klez.E také vytvoří klíč v auto start registru. Napadá soubory typu .EXE s tím, že vynechává soubory nazvané: explorer, cmmgr, msimn, icwconn a winzip. Také vyhledává síťová sdílení a síťové disky, na které se zkopíruje. Poprvé jako spustitelný soubor a podruhé jako RAR archiv s jednoduchou nebo dvojitou příponou. Archivní soubor RAR obsahuje některý z následujících souborů: setup, install, demo, snoopy, picacu, kitty, play, rock. V případě, že je přípona RAR souboru dvojitá, tak první může být: .txt, .htm, .html, .wab, .doc, .xls, .jpg, .cpp, .c, .pas, .mpg, .mpeg, .bak nebo .mp3. Druhá nebo samotná přípona může být: .exe, .scr, .pif nebo .bat. Jméno archivního souboru typu RAR je tvořeno náhodně.

Tento červ ukončuje nejen procesy patřící antivirovým a bezpečnostním programům, ale také jiným virům a červům. Vyhledává je tak, že jednotlivé procesy otevírá a hledá v nich řetězce: Sircam, Nimda, CodeRed, WQKMM3878, GRIEF3878, Fun Loving Criminal, Norton, Mcafee, Antivir, Avconsol, F-STOPW, F-Secure, Sophos, virus, AVP Monitor, AVP Updates, InoculateIT, PC-cillin, Symantec, Trend Micro, F-PROT, NOD32 a na základě jména procesy ukončuje:_AVP32, _AVPCC, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, NAV, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVWNT, ANTIVIR, AVPUPD, AVGCTRL, AVWIN95, SCAN32, VSHWIN32, F-STOPW, F-PROT95, ACKWIN32, VETTRAY, VET95, SWEEP95, PCCWIN98, IOMON98, AVPTC, AVE32, AVCONSOL, FP-WIN, DVP95, F-AGNT95, CLAW95, NVC95, SCAN, VIRUS, LOCKDOWN2000, Norton, Mcafee, Antivir a TASKMGR. Zároveň odstraňuje automatický start klíče v registrech patřící bezpečnostním a antivirovým programům a likviduje tak rezidentní štíty. Pokouší se také ovlivňovat níže uvedené kontrolní soubory antivirových programů: ANTI-VIR.DAT, CHKLIST.DAT, CHKLIST.MS, CHKLIST.CPS, CHKLIST.TAV, IVB.NTZ, SMARTCHK.MS, SMARTCHK.CPS, AVGQT.DAT a AGUARD.DAT.

Kromě toho, že Klez.E sám o sobě může poškozovat spustitelné, binární a datové soubory, vypouští novou, mírně vylepšenou variantu viru ElKern.

Virus obsahuje skrytý text:

Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious
virus,Funlove,Sircam,Nimda,CodeRed and even include W32.Klez 1.X.
2.Well paid jobs are wanted
3.Poor life should be unblessed
4.Don"t accuse me.Please accuse the unfair sh*t world

Zprávy elektronické pošty, které I-Worm/Klez.E rozesílá, jsou tvořeny podle složitých pravidel a uživatelé se tak mohou setkat se značným množstvím jejich variant. E-mailové adresy čerpá z Windows Address Book a z databází ICQ klienta. Ke svému šíření využívá vlastní SMTP utilitu.

 



Nejčtenější

„Neříkej, že už to děláme!“ Tahák šéfa Facebooku ukazuje, čeho se bál

Mark Zuckerberg vypovídá před americkým Kongresem. Jeho poznámky unikly na...

Mark Zuckerberg, zakladatel a šéf sociální sítě Facebook, vypovídal dlouhé hodiny před americkými kongresmany v...

Pilotovi se nechtělo střílet, ale musel. Sestřelení letu KAL 902

Letoun Korejských aerolinií po nouzovém přistání na zamrzlém jezeře.

Před 40 lety sovětská protivzdušná obrana sestřelila dopravní letadlo korejských aerolinek, které se dostalo na území...



Ruská armáda zavedla do výzbroje „smrtící kombajny“. Byly i v Sýrii

BMPT Terminátor

Ruská armáda dala do zkušebního provozu deset vozidel Terminátor určených pro palebnou podporu tanků. Některá z těchto...

Voda na Marsu je. Chová se však zvláštně a může i levitovat

Na povrchu Marsu můžeme spatřit nejenom doklady o proudění kapalné vody v...

Dva experimenty ukázaly, že na povrchu Marsu se voda chová výrazně jinak, než jsme zvyklí. Například místní „bahno“...

Youtuber zaplakal. V přímém přenosu mu hackeři ukradli 40 milionů

Ian Balina zřejmě během hacku přišel o více než dva miliony dolarů v...

Přijít o miliony dolarů je ve světě kryptoměn až neuvěřitelně snadné. Přesvědčil se o tom i Ian Balina, americký...

Další z rubriky

Vychází nová verze Windows 10. Nastavte si, kdy se vám nainstaluje

Tipy a triky pro Windows 10

Microsoft během večera a noci na středu SELČ vydá novou verzi Windows 10. Pokud nechcete, aby se vám začala instalovat...

Něco se pokazilo. Jarní update Windows 10 se zpozdí

Nová funce Windows 10 s názvem Timeline uchovává seznam vašich aktivit.

Společnost Microsoft pozastavila uvedení nové verze Windows 10 kvůli blíže nespecifikované chybě.

Tipy pro Windows 10: automatické vypnutí touchapadu po připojení myši

Tipy a triky pro Windows 10

Naučte se deaktivovat touchpad či nastavit jeho automatické vypínání po připojení myši. Hodit se může zobrazení vybrané...

Najdete na iDNES.cz