Библиотека Интернет Индустрии I2R.ru

Напомним, что первая версия интернет-червя Klez появилась в октябре прошлого года. По сообщению "Лаборатории Касперского", червь активизируется по 13-м числам четных месяцев. На сегодняшний день "Лаборатории Касперского" известно пять его модификаций.

I-Worm.Klez распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Зараженные письма имеют разные заголовки, но как правило, само тело письма пустое. Соответственно, заразиться этим вирусом можно, если открыть приложенный файл, либо если использовать почтовую программу, которая самостоятельно открывает такие файлы.

Червь является приложением Windows (exe-файл), имеет размер от 57K до 65K (в зависимости от версии), написан на Microsoft Visual C++. Для запуска из зараженных сообщений червь использует брешь в защите Internet Explorer (IFRAME-брешь), что может привести к автоматической активизации червя при обычном просмотре сообщения. Помимо распространения по сети и в письмах электронной почты, червь также создает во временном каталоге Windows exe-файл со случайным именем, начинающимся на букву "K" (например, KB180.exe), записывает в этот файл код вируса "Win32.Klez" и запускает его на выполнение, что приводит к заражению большинства EXE-файлов на дисках компьютера.

Наибольшую опасность представляет последняя версия червя - Klez.e. После запуска Klez.e устанавливает себя в системную папку Windows со случайным именем, которое начитается на "Wink", например, "Winkad.exe". Червь Klez.e заражает не только EXE-, но и RAR-архивы, записывая в них свои копии со случайным именем, а по 6-м числам нечетных месяцев ищет на всех дисках зараженного компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению.

Кроме того, червь пытается прекратить работу известных антивирусных программ (например, антивирусы "Лаборатории Касперского"), принудительно закрывая их исполняемые файлы. Эту свою способность Klez.e продемонстрировал тем сотрудникам редакции "Нетоскопа", кто по глупости еще пользуется почтовой программой Microsoft Outlook Express.

"Лаборатория Касперского" разработала отдельную бесплатную утилиту для обнаружения и удаления червя. Утилита CLRAV производит поиск и нейтрализацию Klez в оперативной памяти и на жестком диске зараженного компьютера, а также восстанавливает оригинальное содержимое системного реестра Windows.

Помимо Klez, данная утилита эффективно борется с сетевыми червями Goner, SirCam, Navidad и BleBla.