Библиотека Интернет Индустрии I2R.ru

Лаборатория Касперского рекомендует скачать бесплатную утилиту и отключить предварительный просмотр в почтовых программах.

Как сообщила Internet.ru Светлана Трофимова, эксперт Лаборатории Касперского, второй день в Рунете велико число заражений версией E интернет-червя Klez. По словам Светланы, случаев заражения сотни, циркулирует интернет-червь в Рунете весьма серьезно, и служба технической поддержки Лаборатории уже "стонет". Впрочем, о глобальной эпидемии речь пока не идет.

Первая версия Интернет-червя Klez появилась в октябре прошлого года. На сегодняшний день "Лаборатории Касперского" известно пять его модификаций. Наибольшую опасность представляет последняя версия червя - Klez.e.

Червь рассылает себя по электронной почте, используя для рассылки сообщений протокол SMTP. Тема письма выбирается случайным образом из следующих вариантов:

Hi,
Hello,
Re:
Fw:
how are you
let's be friends
darling
don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
Тело заражённых сообщений: пустое или содержит случайный текст.

Запуск вредоносной программы происходит автоматически при просмотре письма. Для этого червь использует брешь в системе безопасности Internet Explorer, которая была обнаружена в марте 2001 г.

После запуска Klez.e устанавливает себя в системную папку Windows со случайным именем, которое начитается на "Wink", например, "Winkad.exe".

Червь ищет ссылки на EXE-файлы в следующем ключе реестра: SoftwareMicrosoftWindowsCurrentVersionApp Paths, пытаясь заразить найденные приложения.

Klez.e также заражает RAR-архивы, записывая в них свои копии со случайным именем, а по 6-м числам нечётных месяцев ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий. Как уточнила Светлана Трофимова, нет никаких сомнений в неработоспособности этой побочной функции червя.

Кроме того, вирус пытается прекратить работу известных антивирусных программ, принудительно закрывая их исполняемые файлы среди активных процессов компьютера. Фактически, говорит Светлана Трофимова, Klez.e действует быстрей многих антивирусных программ.

Процедуры защиты от "Klez.e" были добавлены в базу данных Антивируса Касперского более двух недель назад.

Но поскольку антивирус может не успеть "засечь" вредоносную программу, Лаборатория Касперского настоятельно рекомендует пользователям скачать бесплатную утилиту с сайта компании и временно отключить функцию предварительного просмотра в почтовых программах. Даже в случае, если на компьютере установлен "монитор" какой-либо антивирусной программы, поскольку, как сказано выше, одно из побочных действий Klez.e - блокирование антивирусных программ.

P.S. На момент публикации материала со скачиванием патча были технические проблемы в связи с большим наплывом пользователей. Лаборатория Касперского пообещала устранить неполадку в ближайшее время.