Win32/Klez.H & Win32/ElKern

Varianta I-Worm/Klez.H se Üφ°φ e-mailem s jednou nebo dv∞ma p°φlohami. Prvnφ p°φloha je vlastnφ virus, druhß p°φloha m∙₧e b²t nßhodn∞ vybran² dokument z napadenΘho poΦφtaΦe. Worm vyu₧φvß bezpeΦnostnφ dφru (IFRAME exploit), dφky kterΘ se m∙₧e na n∞kter²ch systΘmech aktivovat p°i pouhΘm prohlΘdnutφ infikovanΘ zprßvy.

Infikovanß zprßva mß P°edm∞t/Subjekt vybran² z nßsledujφcφho seznamu: 

Hi,
Hello, 
Re: 
Fw: 
Undeliverable mail--"%s"
Returned mail--"%s" 
a %s %s game 
a %s %s tool 
a %s %s website 
a %s %s patch 
%s removal tools 
How are you 
let's be friends
darling 
so cool a flash,enjoy
it your password 
honey some questions 
please try again 
welcome to my hometown
the Garden of Eden 
introduction on ADSL 
meeting notice 
questionnaire 
congratulations 
sos! 
japanese girlVS playboy
look,my beautiful girl friend
eager to see you 
spice girls' vocal concert
japanese lass' sexy pictures

kde mφsto znaku %s je pou₧ito n∞kterΘ z t∞chto slov: 

new
funny 
nice 
humour 
excite 
good 
powful 
WinXP 
IE 6.0 
W32.Elkern 
W32.Klez.E

T∞lo zprßvy je sestaveno z pom∞rn∞ velkΘ databßze text∙ (anglick²ch). Kuri≤znφ variantou, jak se worm prezentuje, je nßsledujφcφ text mailu, ve kterΘm se nabφzφ jako nßstroj na odstran∞nφ svΘho p°edch∙dce I-Worm/Klez.E: 

Worm Klez.E immunity 
Klez.E is the most common world-wide spreading worm.It's very dangerous
by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most
common AV so ftware can't detect or clean it. 
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into
your PC.
NOTE: Because this tool acts as a fake Klez to fool the real
worm,some AV monit or maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.

Po aktivaci se worm, podobn∞ jako p°edchozφ verze, zkopφruje do systΘmovΘho adresß°e Windows a zajistφ svΘ spuÜt∞nφ pomocφ klφΦ∙ v registry: 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\System\CurrentControlSet\Services

Dßle se worm rozeÜle na adresy obsa₧enΘ ve Windows Address Booku, p°iΦem₧ zfalÜuje jmΘno odesφlatele nßhodn∞ vybranou adresou.
Na rozdφl od sv²ch p°edch∙dc∙ virus neobsahuje k≤d pro p°episovßnφ soubor∙. Mφsto toho je schopen nahrazovat n∞kterΘ .EXE programy sßm sebou, p°iΦem₧ p∙vodnφ obsah souboru je ulo₧en v zak≤dovanΘ podob∞ v souboru se stejn²m jmΘnem, ale nßhodnou p°φponou a s nastaven²mi atributy: skryt², systemov² soubor.
Worm se dokß₧e vklßdat do archφvu typu .RAR a Üφ°it se po lokßlnφ sφti pomocφ otev°en²ch sdφlenφ disk∙.
Worm se pokouÜφ aktivn∞ naruÜit antivirovou kontrolu tφm, ₧e vyhledßvß a ukonΦuje nßsledujφcφ b∞₧φcφ procesy: 

_AVP32 NAVLU32 NAVWNT SWEEP95 
_AVPCC NAVRUNR ANTIVIR PCCWIN98 
NOD32 NAVW32 AVPUPD IOMON98 
NPSSVC _AVPM AVGCTRL AVPTC 
NRESQ32 ALERTSVC AVWIN95 AVE32 
NSCHED32 AMON SCAN32 AVCONSOL 
NSCHEDNT AVP32 VSHWIN32 FP-WIN 
NSPLUGIN AVPCC F-STOPW DVP95 
NAV AVPM F-PROT95 F-AGNT95 
NAVAPSVC N32SCANW ACKWIN32 CLAW95 
NAVAPW32 VET95 VETTRAY NVC95

a ma₧e tyto antivirovΘ databßze: 

ANTI-VIR.DAT
CHKLIST.DAT 
CHKLIST.MS 
CHKLIST.CPS 
CHKLIST.TAV 
IVB.NTZ 
SMARTCHK.MS 
SMARTCHK.CPS 
AVGQT.DAT 
AGUARD.DAT

Krom∞ vlastnφ Φinnosti worm vypouÜtφ do napadenΘho poΦφtaΦe novou variantu viru Win32/ElKern.
Win32/ElKern je asi 4 KB velk² polymorfnφ virus, kter² po aktivaci prochßzφ vÜechny spustitelnΘ soubory na vÜech discφch a vhodnΘ ob∞ti infikuje.
Varianta Üφ°enß spoleΦn∞ s wormem I-Worm/Klez.H je vybavena mechanismem, kter² umo₧≥uje viru p°ek≤dovat Φßsti vlastnφho t∞la po ka₧dΘm spuÜt∞nφ a oproti p°edchozφm verzφm neobsahuje ₧ßdnou destrukΦnφ Φinnost.

Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG


  • Odstran∞nφ I-Worm/Klez.H:
    Pokud jde o poΦφtaΦovou sφ¥ LAN, je nutnΘ VèECHNY poΦφtaΦe FYZICKY odpojit od sφt∞ a provΘst jejich dezinfekci. Jakmile jsou VèECHNY PC v po°ßdku, pak teprve celou LAN znovu "nahodit".
    P°φmo v prost°edφ Windows spus¥te jedno·Φelov² antivirus FIXKLEZ.COM a odstra≥te pomocφ n∞j virus Win32/Klez.H i vypuÜt∞n² virus Win32/ElKern. Nezapome≥te, ₧e virus vytvß°φ na pevnΘm disku .RAR archivy, obvykle je tyto souboru nutno mazat ruΦn∞, proto si doporuΦuji poznamenat jejich umφst∞nφ. ╪ada antivir∙ toti₧ nedokß₧e s obsahem archiv∙ manipulovat.

    Pro klid duÜe doporuΦuji nainstalovat tuto zßplatu, kterß "zaÜpuntuje" dφru v MS Outlooku.


    • Jedno·Φelov² antivirus:

    Win32/Klez & Win32/ElKern
  • Popis/pou₧itφ: Z Windows.

    		•

    N∞kolik dobr²ch rad:

    P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

    Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

    Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

    Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.