E' arrivato con ritardo il virus KLEZ - Il Sito di Andrea Fracassi

E' arrivato con un pò di ritardo in rete il virus
W32/KLEZ

01/04/02

Nome: W32/Klez
Alias: Klaz, W32/Klez@MM e
Tipo: worm Win32
Data: 26 Ottobre 2001 - 20 Gennaio 2002

Il virus klez, è stato più volte variato, la versione più recente è la "E", e si sta diffondendo in questi giorni; la Sophos, pare abbia ricevuto svariate segnalazioni da parte di utenti attaccati da questo virus.

Descrizione:

W32/Klez è un worm di tipo Win32 che trasporta una copia compressa del virus W98/Elkern, che salva su disco ed esegue quando il worm è eseguito.

Il worm si auto-invia agli indirizzi che compaiono nella Rubrica di Windows, ed arriva in una email con uno degi Subjects seguenti:

"Hi"
"Hello"
"How are you?"
"Can you help me?"
"We want peace"
"Where will you go?"
"Congratulations!!!"
"Don't cry"
"Look at the pretty"
"Some advice on your shortcoming"
"Free XXX Pictures"
"A free hot porn site"
"Why don't you reply to me?"
"How about have dinner with me together?"
"Never kiss a stranger"

L'allegato ha un nome di file qualsiasi, mentre il mittente è un nome maiuscolo di yahoo.com, hotmail.com oppure sina.com, oppure uno scelto da una lista interna al virus.

Il testo del messaggio dell'email è formattatto HTML e dice:

"I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities
How much my year-salary now? NO more than $5,500
What do you think of this fact?
Don't call my names,I have no hostility
Can you help me?"

Il worm tenta di sfruttare una debolezza di alcune versioni di Microsoft Outlook, Microsoft Outlook Express ed Internet Explorer per permettere al file eseguibile di girare automaticamente senza che l'utente debba aprire l'allegato con un doppio click. Microsoft mette a disposizione una patch che elimina la vulnerabilità e può essere scaricata da http://www.microsoft.com/technet/security/bulletin/MS01-027.asp. Questa debolezza, se ci ricordiamo, veniva già sfruttata dal virus BADTRANS.

Il worm si copia su dischi remoti in share su altre macchine con nomi Qualsiasi. Si copia inoltre nella directory Windows System come krn132.exe, ed imposta la chiave di registro HKLM\Software\Microsoft\Windows\CurrentVersion\Run\krn132, in modo da puntare a quel file.

Danni grossi pare non ne provochi, Symantec lo ha catalogato (la versione E) come pericolosità 3, si raccomanda di aggiornare sempre le definizioni virali.

GuestBook		Forum
Pagina realizzata da Fracassi Andrea