24/12/2002
Επικύνδινος
Ιός
Προσοχή:
Τεράστια διάδοση παρουσιάζει νέα έκδοση
του ιού Klez
Μια νέα έκδοση του ιού Klez
παρουσιάζει τεράστια έξαρση τις τελευταίες
ώρες. Ο ιός, ο οποίος διαδίδεται μέσω e-mail,
ξεκίνησε από την Κίνα και μέχρις στιγμής
έχουν εντοπιστεί κρούσματα σε 142 χώρες με
τις Ταϊβάν, Ιαπωνία, Τσεχία, Δανία και
Αυστρία να βρίσκονται στην κορυφή της
λίστας.
H νέα έκδοση, η οποία
ονομάζεται W32.Klez.h ή W32.Klez.e ή W32.Klez.k και έχει
μέγεθος περίπου 80KB, εκμεταλλεύεται ένα κενό
ασφαλείας που είχε εντοπιστεί στα
προγράμματα Internet Explorer και Outlook Express, τα οποία
δεν ήταν σε θέση να χειριστούν σωστά τους MIME
(Multipurpose Internet Mail Extensions) headers (επικεφαλίδες)
των HTML e-mails. Ετσι, εάν κάποιος κακόβουλος
δημιουργήσει και στείλει ένα κατάλληλα
τροποποιημένο e-mail ή μια σελίδα Web, τότε ο
υπολογιστής του χρήστη που θα λάβει το e-mail ή
θα επισκεφθεί τη συγκεκριμένη σελίδα, θα
εκτελέσει αυτόματα τις ''κρυμμένες'' εντολές
παρέχοντας έτσι στο δημιουργό του e-mail/Web page
πλήρη πρόσβαση στον υπολογιστή-στόχο. Ο
εντοπισμός του ιού είναι αρκετά δύσκολος
καθώς τα μηνύματα που στέλνει δεν έχουν
πάντα το ίδιο όνομα αποστολέα, θέμα, κυρίως
κείμενο, ή όνομα συνημμένου αρχείου.
Επιπλέον, η εκτέλεση του ιού γίνεται
αυτόματα εν αγνοία του χρήστη, όταν αυτός
κάνει κλικ πάνω στο συγκεκριμένο μήνυμα.
Σύμφωνα με τα πρώτα στοιχεία, ο
ιός μεταδίδεται επίσης μέσω των τοπικών
δικτύων, όπως και με τον πατροπαράδοτο
τρόπο της μόλυνσης αρχείων.
Μετάδοση
To Klez διαθέτει ενσωματωμένη
μηχανή SMTP έτσι ώστε να στέλνει ένα
ηλεκτρονικό μήνυμα με συνημμένα αρχεία τον
εαυτό του καθώς και -πολλές φορές- και
κάποιο αρχείο από το μολυσμένο υπολογιστή,
χωρίς να απαιτείται να είναι φορτωμένο το
Outlook Express. Για την μετάδοσή του μέσω e-mail, ο
ιός εντοπίζει τις πιθανές διευθύνσεις
ψάχνοντας το address book των Windows, τη βάση
δεδομένων του ICQ, καθώς και τα αρχεία που
βρίσκονται στο σκληρό δίσκο με κάποιο από
τα παρακάτω extensions:
Ως αποστολέας χρησιμοποιείται
μια από τις ηλεκτρονικές διευθύνσεις τις
οποίες θα βρει το worm στο address book των Windows, τη
βάση δεδομένων του ICQ, καθώς και τα αρχεία
που βρίσκονται στο σκληρό δίσκο με κάποιο
από τα παρακάτω extensions:
.mp8
.exe
.scr
.pif
.bat
.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf
Το θέμα του μηνύματος
αποτελείται από μια από τις παρακάτω
φράσεις:
Undeliverable mail--[τυχαία λέξη]
Returned mail--[τυχαία λέξη]
a [τυχαία λέξη] [τυχαία λέξη] game
a [τυχαία λέξη] [τυχαία λέξη] tool
a [τυχαία λέξη] [τυχαία λέξη]
website
a [τυχαία λέξη] [τυχαία λέξη] patch
[τυχαία λέξη] removal tools
how are you
let's be friends
darling
so cool a flash, enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
SOS!
Japanese girl VS playboy
look, my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
The following mail can't be sent to <variable text>:
The attachment
The file
is the original mail
give you the
is a <very/special> dangerous virus that
can infect on Win98/Me/2000/XP.
spread through email.
For more information,please visit
This is
I <wish/hope/expect> you would <enjoy/like>
it.
Christmas
New year
Saint Valentine's Day
Allhallowmas
April Fools' Day
Lady Day
Assumption
Candlemas
All Souls'Day
Οι οποίοι μπορεί να έπονται
κάποιων από τις παρακάτω λέξεις (π.χ. Hi, darling):
Hi,
Hello,
Re:
Fw:
H [τυχαία λέξη] μπορεί να είναι
μία από τις εξής:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky
Μερικές από τις φράσεις που
αποτελούν το κυρίως κείμενο του email είναι οι
εξής:
This is a good tool. I expect you would like it.
This is a excite game. This game is my first work.
You're the first player. I wish you would like it.
Μολυνση
Οταν ο ιός ενεργοποιηθεί κάνει
τα εξής:
Αντιγράφει το εαυτό του στο
directory \%System%\ με το όνομα WINΚ<τυχαίοι
χαρακτήρες>.EXE ή με το όνομα WINQ<τυχαίοι
χαρακτήρες>.EXE ή με το όνομα WQK.EXE
Προσθέτει το κλειδί
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
με τιμή
Wink<τυχαίοι χαρακτήρες> %System%\Wink<τυχαίοι
χαρακτήρες>.exe
στη registry.
Εναλλακτικά δημιουργεί το
κλειδί:
HKEY_LOCAL_MACHINE\System\CurrentControlset\Services\Wink[τυχαίοι
χαρακτήρες]
Απενεργοποιεί κάποιους
αντίπαλους ιούς όπως ο W32.Nimda ή ο CodeRed.
Απενεργοποιεί όλα τα
προγράμματα antivirus που βρίσκονται στον
υπολογιστή διαγράφοντας τις βάσεις
δεδομένων που εμπεριέχονται στα εξής
αρχεία:
Anti-Vir.dat
Chklist.dat
Chklist.ms
Chklist.cps
Chklist.tav
Ivb.ntz
Smartchk.ms
Smartchk.cps
Avgqt.dat
Aguard.dat
Αντιγράφει τον αυτό του με τη
μορφή αρχείου RAR ή με κάποιο τυχαίο όνομα
και διπλό επίθεμα (bat, exe, scr) στους τοπικούς
και δικτυακούς σκληρούς δίσκους. Το όνομα
μπορεί να είναι κάποιο από τα εξής:
setup
install
demo
snoopy
picacu
kitty
play
rock
Επιπλέον δημιουργεί ένα hidden
αντίγραφο κάποιων αρχείων με τυχαίο
επίθεμα και στη συνέχεια αντιγράφει τον
εαυτό του στη θέση των πρωτοτύπων.
Τοποθετεί τον ιό W32.Elkern.4926 με
ένα τυχαίο όνομα στο directory \%Program Files% και τον
εκτελεί.
Θεραπεία
Εκτός από τον απλούστερο τρόπο,
που αφορά τη χρήση των νεότερων εκδόσεων
των γνωστών αντι-ιικών προγραμμάτων (McAfee,
Norton κ.τ.λ.), υπάρχει και το πρόγραμμα AntiKlez της
εταιρείας Bitdefender το οποίο είναι διαθέσιμο
δωρεάν στη διεύθυνση
http://www.bitdefender.com/download/download.php?file=AntiKlez.exe
Ενας πονηρός ιός
Περίπτωση 1η:
Μια από τις πιο πονηρές μορφές
του Klez είναι η δημιουργία ενός e-mail το οποίο
φαίνεται ως ανεπίδοτο δικό σας μήνυμα με
αποτέλεσμα ο παραλήπτης να νομίζει ότι έχει
ήδη κολλήσει τον ιό.
Ενα τέτοιο e-mail μπορεί να έχει
την εξής μορφή:
From: postmaster <postmaster@xxxxx.gr> (όπου
xxxxx το δικό σας domain΄)
To: yyyy@xxxx.gr (όπου yyyy@xxxx.gr το δικό
σας email)
Subject: Returned mail--xxxxxx (όπου xxxxxx το
όνομα του συνημμένου αρχείου που βρήκε στο
μολυσμένο υπολογιστή)
και κυρίως κείμενο
The following mail can't be sent to qqqqq@wwww.gr: (όπου
qqqqq@wwww.gr μια διεύθυνση που βρήκε στο
μολυσμένο υπολογιστή)
From: yyyy@xxxx.gr (όπου yyyy@xxxx.gr το δικό
σας email)
To: qqqqq@wwww.gr: (όπου qqqqq@wwww.gr μια
διεύθυνση που βρήκε στο μολυσμένο
υπολογιστή)
Subject: ''xxxxxxx'' (όπου xxxxxx το όνομα
του συνημμένου αρχείου που βρήκε στο
μολυσμένο υπολογιστή)
The attachment is the original mail
Το αναφερόμενο attachment είναι
συνήθως δύο αρχεία: το πρώτο είναι ένα,
πιθανώς απόρρητο, αρχείο από τον μολυσμένο
υπολογιστή, ενώ το δεύτερο (με μέγεθος 80-90ΚΒ)
είναι ο ιός.
Σημείωση: Σε υπολογιστές χωρίς
το κατάλληλο patch της Microsoft, ένα απλό preview του
mail είναι αρκετό για να μολυνθεί ο
υπολογιστής.
Περίπτωση 2η:
Μια άλλη πονηρή μορφή του Klez
είναι η δημιουργία ενός e-mail στο οποίο
φαίνεται πως κάποιος σας ενημερώνει για την
ύπαρξη ενός νέου ιού ενώ ταυτόχρονα σας
αποστέλλει και το - πλαστό - αντίδοτο.
Ενα τέτοιο e-mail μπορεί να έχει
την εξής μορφή:
From: ppppppp <ppppppp@xxxxx.gr> (όπου xxxxx
το δικό σας domain΄)
To: yyyy@xxxx.gr (όπου yyyy@xxxx.gr το δικό
σας email)
Subject: W32.Elkern removal tools (ή κάτι
αντίστοιχο)
και κυρίως κείμενο
W32.Elkern is a special dangerous virus that can infect
on Win98/Me/2000/XP.
Mcafee give you the special W32.Elkern removal tools
For more information,please visit http://www.Mcafee.com
Το attachment είναι συνήθως δύο
αρχεία: το πρώτο είναι ένα, πιθανώς απόρρητο,
αρχείο από τον μολυσμένο υπολογιστή, ενώ το
δεύτερο (με μέγεθος 80-90ΚΒ) είναι ο ιός.
Σημείωση: Σε υπολογιστές χωρίς
το κατάλληλο patch της Microsoft, ένα απλό preview του
mail είναι αρκετό για να μολυνθεί ο
υπολογιστής.
Y.Γ.: Πριν ακόμα προλάβω να σας
στείλω το e-mail αυτό μου ήρθε ήδη ο ιός από
άγνωστο αποστολέα (jomusicfun@hotmail.com). Σε μένα
προσωπικά έφτασε με κείμενο "This is a very funny
website, I expect you would like it." και έχει ως attachment
αρχείο με επέκταση ".txt" . To σβήνω χωρίς
να το ανοίξω καθόλου. Το ίδιο συμβουλέυω και
σε όλους. ΕΠΑΝΑΛΑΜΒΑΝΩ: ΜΕΓΑΛΗ ΠΡΟΣΟΧΗ,
ΠΡΟΚΕΙΤΑΙ ΓΙΑ ΠΡΑΓΜΑΤΙΚΟ ΙΟ!!!
από το PCMaster: Http://www.pcmaster.gr