Gość: triss
IP: *.warszawa.cvx.ppp.tpnet.pl
31.07.02, 11:21
Jeszcze raz, bo to faktycznie plaga. Po gazecie łazi wirus, który implantuje
w skrzynce i automatycznie rozsyła do wszystkich, bez udziału osób, od
których jest e-mail. Ja dostałam go od kilku osób, których kont wogóle nie
mam (chyba przez "pośrednictwo innej skrzynki) m.in. Luny, annuszki ...Dla
zainteresowanych: info ze strony mks (warto odwiedzać):
Klez.H Również znany jako: W32.Klez.H Typ: robak Niszczący dyski: nie
Niszczący pliki: nie Efekty wizualne: nie Efekty dźwiękowe: nie
Klez.H to nowa odmiana szybko się rozprzestrzeniającego robaka internetowego
Klez. Jego działanie polega na rozsyłaniu własnych kopii za pomocą poczty
elektronicznej, tworzeniu swoich kopii na dyskach sieciowych oraz infekowaniu
plików wykonywalnych.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu
elektronicznego, którego temat, treść oraz nazwa załącznika jest tworzona
losowo. Oto kombinacje tych parametrów:
Temat:
Undeliverable mail--"[losowe słowo]"
Returned mail--"[losowe słowo]"
a [losowe słowo] [losowe słowo] game
a [losowe słowo] [losowe słowo] tool
a [losowe słowo] [losowe słowo] website
a [losowe słowo] [losowe słowo] patch
[losowe słowo] removal tools
how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures
gdzie losowe słowo to jedno z następujących:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky
Treść: [losowa]
Załącznik: [losowa nazwa]
W niezabezpieczonych programach Microsoft Outlook i Outlook Express
obejrzenie tej wiadomości w podglądzie powoduje automatyczne uruchomienie
pliku załącznika. W innym przypadku gdy użytkownik uruchomi plik załącznika
robak tworzy własną kopię w katalogu systemowym Windows w pliku o losowej
nazwie Wink[losowe znaki].exe oraz modyfikuje tak rejestr, by był uruchamiany
przy każdym starcie systemu Windows.
W kolejnym etapie swojego działania robak stara się wyłączyć ochronę
antywirusową wielu programów antywirusowych.
Następnie robak tworzy swoje kopie na lokalnych i zamapowanych dyskach
sieciowych w plikach z losową nazwą i podwójnym rozszerzeniem oraz w plikach
archiwów RAR'a z podwójnym rozszerzeniem.
Po rozprzestrzenianiu się w sieci lokalnej robak rozpoczyna procedurę wysyłki
za pomocą poczty elektronicznej. Zarówno adres nadawcy jak i odbiorcy
wysyłanego przez robaka listu pochodzi z bądź z książki adresowej systemu
Windows, bądź z innego źródła takiego jak: ICQ, lokalne pliki z adresami
emailowymi oraz odczytane adresy z plików o następujących rozszerzeniach:
mp8, exe, scr, pif, bat, txt, htm, html, wab, asp, doc, rtf, xls, jpg, cpp,
pas, mpg, mpeg, bak, mp3, pdf, dlatego też zarówno w polu From: (adres
nadawcy), To: (adres odbiorcy) jak i Return-Path: (adres zwrotny) nie
znajdziemy prawdziwego adresu email z którego wysłany został email z
robakiem. Do wysyłania kopii robak używa własnego silnika SMTP, więc może
rozsyłać się nawet z komputera gdzie nie ma zainstalowanego żadnego programu
pocztowego.
Na koniec robak infekuje pliki wykonywalne tworząc ukryte, zaszyfrowane kopie
oryginałów, a w ich miejsce tworząc własne kopie. Nazwa ukrytej kopii
oryginału jest taka sama jak kopii robaka, tylko z losowym rozszerzeniem
