Вирус Klez
Червь какой-то.
Их (Klez'ов) кажется много.
Неизвестно насколько он опасен для компа, но скорее всего попытается распространяться по почте, может быть и по локальной сети.
Их (Klez'ов) кажется много.
Неизвестно насколько он опасен для компа, но скорее всего попытается распространяться по почте, может быть и по локальной сети.
То есть может и не опасен... А на хрена он тогда? У меня вот почему-то АВП не встает, приходится ДрВебом фигачить.
Вирус - это программа, которая умеет размножаться самостоятельно без ведома владельца компа. Вредоносные действия при этом совсем не обязательны.
Медики обнаружили новую страшную и неизвестную болезнь. Смертность 100%, симптомов нет, лекарств нет. К счастью, она может десятилетиями никак себя не проявлять...
А что за файлы krn132.exe & wqk.exe - они у меня и заражены, причем иногда это приводит к зависанию компа
это наверное и есть тела вируса
А АВП может сам вирус убивать, они умные нонче пошли.
Нужна специальная лечилка, наверняка ест на сайте Касперского. Или еще где, осталось инет найти...
Нужна специальная лечилка, наверняка ест на сайте Касперского. Или еще где, осталось инет найти...
>А АВП может сам вирус убивать, они умные нонче пошли.
Было такое, именно с клезом
Эта сволочь прописывалась сервисом и отслеживала попытки запуска авп
После ручного вырезания из реестра / перезагрузки авп спокойно установилося и добил гада
Было такое, именно с клезом
Эта сволочь прописывалась сервисом и отслеживала попытки запуска авп
После ручного вырезания из реестра / перезагрузки авп спокойно установилося и добил гада
I-Worm.Klez
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл имеет размер от 57K до 65K (в зависимости от своей версии написан на Microsoft Visual C++.
Заголовки и имена вложений в зараженных письмах не фиксированы (см. ниже). Для запуска из заражённых сообщений червь использует брешь в защите Internet Explorer (IFRAME-брешь что может привести к автоматической активизации червя при обычном просмотре сообщения.
Помимо распространения по сети и в письмах электронной почты, червь также создаёт во временном каталоге Windows EXE-файл со случайным именем, начинающимся на букву "K" (например, KB180.exe записывает в этот файл код вируса "Win32.Klez" и запускает его на выполнение, что приводит к заражению большинства Win32 PE EXE файлов на дисках компьютера.
Запуск вируса
При запуске зараженного файла червь копирует себя в системную папку Windows с именем krn132.exe. Затем он записывает в реестр следующий ключ, чтобы стартовать автоматически при запуске Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Krn132 = %System%\Krn132.exe
где %System% является именем системного каталога Windows.
Затем вирус ищет активные приложения (антивирусы, см. ниже) и пытается выгрузить их командой Windows "TerminateProcess":
_AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS
Распространение: e-mail
Для отсылки сообщений червь использует протокол SMTP. Он ищет почтовые адреса в базе данных WAB и отсылает заражённые сообщения по этим адресам.
Тема отсылаемых червём сообщений случайно выбирается из списка:
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
Тело сообщения следующее:
I'm sorry to do so,but it's helpless to say sory.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?
Присоединённый файл: Win32 PE EXE - файл со случайным именем и расширением ".exe" или с двойным расширением:
name.ext.exe
Для выбора имени (name.ext) вложения червь использует оригинальный метод. Он сканирует все доступные диски, ищет на них файлы с расширением имени:
.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg
и берет имя найденного файла (name.ext) как "базу" имени вложения, и затем добавляет второе расширение ".exe". Например: "Ylhq.htm.exe", "If.xls.exe" и т.п.
В заражённых письмах червь самостоятельно подставляет поле "From:". В зависимости от случайного счетчика червь либо подставляет туда реальный адрес отправителя, либо случайным образом генерирует фиктивный адрес.
Интересной особенностью червя является то, что при рассылке писем он записывает в свой EXE-файл список найденных адресов электронной почты.
Все строки в теле вируса (тексты сообщений и адреса) хранятся в зашифрованном виде.
Распространение: локальные и сетевые диски
Червь перебирает все локальные диски, сетевые диски с правом доступа и копируется туда под случайным именем name.ext.exe (имя файла генерируется так же, как и имя вложения в заражённых письмах, см. выше). После копирования файла на сетевой ресурс червь регистрирует свои копии на заражённых компьютерах как системные приложения-сервисы.
Проявления
По 13-м числам чётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.
Другие версии
Известны несколько модификаций данного червя. Версии I-Worm.Klez.a-d практически идентичны.
Klez.e
Запуск вируса
Червь устанавливает себя в системную папку Windows со случайным именем, которое начитается на "Wink", например, "Winkad.exe".
Заражение
Червь ищет ссылки на EXE-файлы в следующем ключе реестра:
Software\Microsoft\Windows\CurrentVersion\App Paths
Затем, червь пытается заразить найденные приложения. При заражении EXE файла, червь создаёт файл с оригинальным именем файла и случайным расширением, а также атрибутами скрытый+системный+только чтение. Этот файл используется червём для запуска оригинального (заражённого) файла. При запуске заражённого файла червь записывает оригинальное приложение во временный файл с тем же именем + "MP8" и запускает его.
Червь заражает RAR архивы, записывая в них свои копии со случайным именем. Имя файла выбирается из списка:
setup
install
demo
snoopy
picacu
kitty
play
rock
К имени файла вирус добавляет два или одно расширения, последнее из которых это - ".exe", ".scr", ".pif" или ".bat".
Распространение: e-mail
Тема отсылаемых червём сообщений выбирается из следующего списка, или генерируется случайно:
Hi,
Hello,
Re:
Fw:
how are you
let's be friends
darling
don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
Червь также может сгенерировать тему сообщения, используя строки из списка:
Undeliverable mail--%%
Returned mail--%%
a %% %% game
a %% %% tool
a %% %% website
a %% %% patch
%% removal tools
Где %% выбирается из списка:
new
funny nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez
Тело заражённых сообщений: пустое, или содержит случайный текст.
Присоединённый файл: Win32 PE EXE файл со случайным именем и расширением ".exe" или с двойным расширением.
Червь использует брешь в защите IFrame, чтобы запускаться автоматически при просмотре заражённых сообщений.
Проявления
По 6-м числам нечётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.
Другое
Червь ищет среди активных процессов те, которые содержат строки из следующего списка, и принудительно закрывает их:
Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл имеет размер от 57K до 65K (в зависимости от своей версии написан на Microsoft Visual C++.
Заголовки и имена вложений в зараженных письмах не фиксированы (см. ниже). Для запуска из заражённых сообщений червь использует брешь в защите Internet Explorer (IFRAME-брешь что может привести к автоматической активизации червя при обычном просмотре сообщения.
Помимо распространения по сети и в письмах электронной почты, червь также создаёт во временном каталоге Windows EXE-файл со случайным именем, начинающимся на букву "K" (например, KB180.exe записывает в этот файл код вируса "Win32.Klez" и запускает его на выполнение, что приводит к заражению большинства Win32 PE EXE файлов на дисках компьютера.
Запуск вируса
При запуске зараженного файла червь копирует себя в системную папку Windows с именем krn132.exe. Затем он записывает в реестр следующий ключ, чтобы стартовать автоматически при запуске Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Krn132 = %System%\Krn132.exe
где %System% является именем системного каталога Windows.
Затем вирус ищет активные приложения (антивирусы, см. ниже) и пытается выгрузить их командой Windows "TerminateProcess":
_AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS
Распространение: e-mail
Для отсылки сообщений червь использует протокол SMTP. Он ищет почтовые адреса в базе данных WAB и отсылает заражённые сообщения по этим адресам.
Тема отсылаемых червём сообщений случайно выбирается из списка:
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
Тело сообщения следующее:
I'm sorry to do so,but it's helpless to say sory.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?
Присоединённый файл: Win32 PE EXE - файл со случайным именем и расширением ".exe" или с двойным расширением:
name.ext.exe
Для выбора имени (name.ext) вложения червь использует оригинальный метод. Он сканирует все доступные диски, ищет на них файлы с расширением имени:
.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg
и берет имя найденного файла (name.ext) как "базу" имени вложения, и затем добавляет второе расширение ".exe". Например: "Ylhq.htm.exe", "If.xls.exe" и т.п.
В заражённых письмах червь самостоятельно подставляет поле "From:". В зависимости от случайного счетчика червь либо подставляет туда реальный адрес отправителя, либо случайным образом генерирует фиктивный адрес.
Интересной особенностью червя является то, что при рассылке писем он записывает в свой EXE-файл список найденных адресов электронной почты.
Все строки в теле вируса (тексты сообщений и адреса) хранятся в зашифрованном виде.
Распространение: локальные и сетевые диски
Червь перебирает все локальные диски, сетевые диски с правом доступа и копируется туда под случайным именем name.ext.exe (имя файла генерируется так же, как и имя вложения в заражённых письмах, см. выше). После копирования файла на сетевой ресурс червь регистрирует свои копии на заражённых компьютерах как системные приложения-сервисы.
Проявления
По 13-м числам чётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.
Другие версии
Известны несколько модификаций данного червя. Версии I-Worm.Klez.a-d практически идентичны.
Klez.e
Запуск вируса
Червь устанавливает себя в системную папку Windows со случайным именем, которое начитается на "Wink", например, "Winkad.exe".
Заражение
Червь ищет ссылки на EXE-файлы в следующем ключе реестра:
Software\Microsoft\Windows\CurrentVersion\App Paths
Затем, червь пытается заразить найденные приложения. При заражении EXE файла, червь создаёт файл с оригинальным именем файла и случайным расширением, а также атрибутами скрытый+системный+только чтение. Этот файл используется червём для запуска оригинального (заражённого) файла. При запуске заражённого файла червь записывает оригинальное приложение во временный файл с тем же именем + "MP8" и запускает его.
Червь заражает RAR архивы, записывая в них свои копии со случайным именем. Имя файла выбирается из списка:
setup
install
demo
snoopy
picacu
kitty
play
rock
К имени файла вирус добавляет два или одно расширения, последнее из которых это - ".exe", ".scr", ".pif" или ".bat".
Распространение: e-mail
Тема отсылаемых червём сообщений выбирается из следующего списка, или генерируется случайно:
Hi,
Hello,
Re:
Fw:
how are you
let's be friends
darling
don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
Червь также может сгенерировать тему сообщения, используя строки из списка:
Undeliverable mail--%%
Returned mail--%%
a %% %% game
a %% %% tool
a %% %% website
a %% %% patch
%% removal tools
Где %% выбирается из списка:
new
funny nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez
Тело заражённых сообщений: пустое, или содержит случайный текст.
Присоединённый файл: Win32 PE EXE файл со случайным именем и расширением ".exe" или с двойным расширением.
Червь использует брешь в защите IFrame, чтобы запускаться автоматически при просмотре заражённых сообщений.
Проявления
По 6-м числам нечётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.
Другое
Червь ищет среди активных процессов те, которые содержат строки из следующего списка, и принудительно закрывает их:
Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32
>Эта сволочь прописывалась сервисом и отслеживала попытки запуска авп
Именно так блин и было... Убил ДрВебом
Именно так блин и было... Убил ДрВебом
Блин, а ведь это опасная штуковина...
Кстати, последняя версия Клеца убивает другие черви. (SirCam, Nimda, CodeRed и прочие, если верить написанному).
Я эту хрень как то целую ночь лечили - вылечить не мог
Ну я тоже погеморился. ОСобенно удивляло, что АВП не запускается... Но DrWeb помог
Отсюда вывод DrWeb рулит, а AVP-ацтой ! 
Отсюда следует вывод, что ДРВЕБ ацтой, т.к. вирус его опасным не считает 
.
На самом деле примерно равноценные антивирусы.
. На самом деле примерно равноценные антивирусы.
Оставить комментарий
etalon7
Что это за хрень? Чем опасна?