In data 2002-04-23 09:38, fo64 scrive:
E' il virus "klez" e le sue più recenti varianti.
per maggiore informazione copio-incollo questo msg dal newsgroup it.comp.sicurezza.virus
----------------
W32.Klez.gen@MM
Cosa fa.
Klez.H scansiona la rubrica di Outlook, i contatti di ICQ, i file in locale e utilizza un proprio server SMTP per inviarsi a tutti gli indirizzi come allegato di una email infetta.
Il nome dell'allegato, così come le caratteristiche delle email, sono
casuali. Anche questa versione di Klez sceglie come indirizzo mittente uno
qualsiasi degli indirizzi individuati sul computer dell'utente infetto.
Questo significa che quando si riceve l'email infetta questa può essere
stata inviata da un mittente assolutamente estraneo a quello riportato nell'email.
Klez.H tenta di disabilitare le funzionalità antivirus dei prodotti di difesa eventualmente installati sul computer Windows aggredito.
Fatto questo, il worm provvede ad auto-copiarsi su tutti i supporti che individua, in locale o in rete, infilando in quella sede un file riconoscibile da una doppia estensione casuale, come.txt.exe o.txt.rar.
Una volta dentro, come detto, il worm scansiona i file più comuni, da quelli.html a quelli.exe passando per.doc,.asp e persino per.mp3 a caccia di indirizzi email a cui auto-inviarsi per tentare di infettare il più alto numero possibile di computer.
Non contento, il worm infetta gli eseguibili creando una copia nascosta del file originale prima di riscriversi direttamente sopra di esso... La copia nascosta viene criptata ma non è virale.
Symantec spiega anche che il nome del file nascosto è lo stesso del file originale ma ha una estensione casuale.
Infine, nella cartellina dedicata di default ai programmi (spesso c
rogrammi), il worm infila anche il virus W32.Elkern.
Come riconoscere una mail infetta.
Il soggetto del mail è uno dei seguenti:
a.. Undeliverable mail--"[Random word]"
b.. Returned mail--"[Random word]"
c.. a [Random word] [Random word] game
d.. a [Random word] [Random word] tool
e.. a [Random word] [Random word] website
f.. a [Random word] [Random word] patch
g.. [Random word] removal tools
h.. how are you
i.. let's be friends
j.. darling
k.. so cool a flash,enjoy it
l.. your password
m.. honey
n.. some questions
o.. please try again
p.. welcome to my hometown
q.. the Garden of Eden
r.. introduction on ADSL
s.. meeting notice
t.. questionnaire
u.. congratulations
v.. sos!
w.. japanese girl VS playboy
x.. look,my beautiful girl friend
y.. eager to see you
z.. spice girls' vocal concert
aa.. japanese lass' sexy pictures
Occorre tenere presente che se si utilizza l'outlook express 5.01 o 5.5 e non si è applicata la patch disponibile qui, il virus entra in esecuzione con la semplice visualizzazione dell'anteprima.
Come pulire un sistema infetto.
Se il vostro antivirus è ancora funzionante, aggiornate immediatamente le definizioni virali in modo da poterlo riconoscere e cancellare. Dopo l'aggiornamento occorre procedere alla scansione completa del sistema e rimuovere tutti i file che risultano infetti.
Se però il sistema è stato riavviato più volte dal momento dell'infezione è probabile che l'antivirus abbia cessato di funzionare e
quindi si dovrà procedere ad una pulizia manuale prima di disinstallare e poi reinstallare l'antivirus.
Sul sito web della symantec è disponibile una procedura per la rimozione manuale del virus, non è però garantito che funzioni in ogni caso.
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
Personalmente ho pulito con successo un sistema infetto e con l'antivirus disattivato, il sistema operativo era windows 98 SE:
1.. All'avvio del sistema tenere premuto il tasto [Control] (F8 nel caso di win95).
2.. Apparirà un menu con varie opzioni di avvio, scegliere prompt dei comandi con supporto di rete.
3.. c:windowstemp per andare nella cartella dei file temporanei e rimuovere tutti i file che vi si trovano.
4.. c
rogra~1 per andare nella cartella programmi e rimuovere eventuali eseguibili presenti direttamente nella cartella (la ~ si ottiene premendo control+126 sul tastierino numerico).
5.. Per individuare la presenza di file nascosti e di sistema dare il comando dir *.* /a:s /s occorre prendere nota di tutti i nomi di file che si trovano e in quale cartella sono collocati. Se alla porta parallela è collegata una stampante dare il seguente comando dir *.* /a:s /s >lpt1 per
ottenere una stampata, per espellere il foglio potrebbe essere necessario il
comando di espulsione carta posto sul pannello frontale della stampante.
6.. Ad ogni file precedentemente trovato corrisponde un file .exe con lo stesso nome e nella stessa cartella: es se in c
rogra~1qwe c'è un file load.wed allora il quella stessa cartella c'è anche load.exe, sono da
eliminare entrambi per poi reinstallare il programma colpito.
7.. Per eliminare i file di sistema occorre prima usare il comando attrib in modo da sproteggere il file. Nell'esempio del punto precedente attrib -s -h -r load.wed quindi del load.wed e del load.exe
8.. c:windowssystem e quindi dir wink*.exe /a se si trovano uno o
più file occorre eliminarli, dare i comandi attrib -s -h -r wink*.exe e del wink*.exe
9.. Ora si riavvia il sistema e se non si è dimenticato nessun file è impossibile per il virus ritornare in memoria, disinstallare e poi reinstallare l'antivirus aggiornando immediatamente le definizioni virali.
10.. Scansionare tutti i dischi con l'opzione tutti i file indipendentemente dall'estensione.
11.. Reinstallati i programmi danneggiati il sistema è recuperato al 100%. Se necessario installare la patch per internet explorer 5.01 o 5.5.
----------------
Un saluto a tutti
Fo64