Вот что подсказали мне «по горячим следам» об этом вирусе в одном из IRC-каналов:
«Безобидный зашифрованный резидентный Win32-вирус. Рекурсивно ищет и заражает приложения Win32 (PE EXE-файлы), которые имеют расширения имени .EXE и .SCR в текущей директории, на жёстких и сетевых дисках и всех доступных сетевых ресурсах».
Впервые информация о данной модификации прошла в конце января – начале февраля этого года. Вот текст новости, который разместили у себя многие сайты: «Техническая лаборатория компании “Panda Software” сообщает об очередном появлении нового червя. W32/Klez.G - вирус, распространяющийся через электронную почту в приложении к письму с варьирующимися характеристиками. Он может модифицировать системные драйверы VxD и переписывать загрузочные файлы. В результате компьютер не будет запускаться. Запустившись, зараженное приложение копирует себя в системный каталог Windows под именем Winkxxxx.exe, где хххх – это произвольные буквы. Аналогичным образом он копирует себя в папку Windows\Temp под именем, составленным из 8 цифр и букв, выбранных наугад. Также червь создает в системном каталоге файл размером 12. 416 b под именем WQK.EXE. Этот файл содержит вирус (W32/Elkern), предназначенный для заражения PE файлов.
Кроме того, W32/Klez.G регистрирует себя в реестре Windows для того, чтобы автоматически запускаться с каждым включением системы: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Новые адреса для распространения червь ищет в адресной книге зараженного компьютера.
W32/Klez.G использует дефект почтовой системы Internet Explorer, и ранее активно эксплуатировавшийся другими червями, который позволяет запускаться вложению вместе с открытием письма, которое его содержит, или при простом просмотре с панели предварительного просмотра в Outlook.»
Что касается вообще семейства Klez, то наиболее опасными модификациями являются все же H и E.
Вот информация «Лаборатории Касперского» от 17 апреля: «"Лаборатория Касперского" сообщает об обнаружении новой модификации Интернет-червя "KLEZ" (Klez.h), многочисленные сообщения о случаях заражения которым получены из многих стран, включая Японию, Китай, Австрию, Чехию.
Для проникновения на компьютеры червь использует брешь в системе безопасности Internet Explorer ("IFRAME-брешь"). Благодаря этому червь имеет способность незаметно заражать компьютеры сразу же после прочтения получателем инфицированного письма. Эта особенность практически исключает человеческий фактор и многократно повышает эффективность заражения и скорость распространения червя.
Для защиты от Klez.h "Лаборатория Касперского" рекомендует немедленно обновить базу данных Антивируса Касперского. Для исключения угрозы заражения этой и любыми другими модификациями червя необходимо установить заплатку для Internet Explorer, которая доступна на сайте Microsoft по адресу: http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp ».
Через два дня «Лаборатория» сообщила, что На его долю приходится уже более 70% всех сообщений о случаях заражения вредоносными программами, причем это число продолжает расти. На данный момент география распространения эпидемии червя охватывает практически все страны, в том числе Россию и СНГ.
Klez.H имеет опасную особенность: червь сканирует диски зараженного компьютера и, в зависимости от ряда условий, прикрепляет к рассылаемым письмам файлы следующих форматов:
.txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3 .pdf
В результате с компьютера может произойти утечка важной конфиденциальной информации, последствия чего могут быть непредсказуемы. Подобным образом в конце 2001 г. Интернет-червь SirCam сделал достоянием общественности секретные документы ряда государственных учреждений из разных стран мира. "В отличие от предыдущих версий Klez.H не имеет функции уничтожения данных на диске. Вместе с тем он сохраняет свою опасность из-за возможности несанкционированной рассылки файлов с зараженных компьютеров, - комментирует Евгений Касперский, руководитель антивирусных исследований компании, - Это обстоятельство делает Klez.H наиболее опасным для корпоративных заказчиков, для которых утечка информации может иметь непредсказуемые последствия".
Скорость распространения Klez.H доказывает, что большинство пользователей игнорируют совет установить заплатку для системы безопасности Internet Explorer, которая позволит защитить компьютер от любых, даже будущих модификаций червя. Одновременно пользователи недостаточно регулярно обновляют базы данных антивирусных программ. Как следствие этого, эпидемия Klez.H имеет все шансы достигнуть масштабов эпидемии другой печально известной разновидности червя - Klez.E, которая уже несколько месяцев уверенно занимает первые места в списках самфх распространяемых вредоносных программ.»
И далее от 23 апреля: «Интернет-червь Klez.H. ворует конфиденциальную информацию. Несмотря на настойчивые рекомендации "Лаборатории Касперского" предпринять необходимые меры в связи с нарастающей активностью опасной версии интернет-червя Klez, большинство пользователей легкомысленно отнеслось к проблеме безопасности собственной информации. Результатом стала глобальная вирусная эпидемия в Интернете.
За последние несколько дней активности Klez.H в службу технической поддержки "Лаборатории Касперского" поступило более 12 тыс. обращений. Большинство звонков именно из России. "К сожалению, большинство пользователей по-прежнему не спешит обновлять антивирусные базы, а часть из них вообще не привыкла использовать антивирус. Против несоблюдения правил элементарной компьютерной гигиены не помогла даже выпущенная 6 дней назад "Лабораторией Касперского" бесплатная утилита по защите от эпидемии, - сказала Наталья Касперская, генеральный директор "Лаборатории", - В результате количество зараженных компьютеров растет с невиданной скоростью, а масштабы эпидемии и опасность этой вредоносной программы ставит Klez.h в один ряд с нашумевшими ILOVEYOU, CodeRed, Sircam, ставшими причиной колоссальных убытков". »
Здесь, я полагаю, вполне уместно полностью привести текст сообщения о модификации Е (8 февраля 2002): «В связи с многочисленными случаями заражения последней модификацией Интернет-червя Klez (Klez.e) "Лаборатория Касперского" разработала бесплатную утилиту для обнаружения и удаления данной вредоносной программы. Утилиту можно загрузить с сайта компании.
Напомним, что первая версия Интернет-червя Klez появилась в октябре прошлого года. На сегодняшний день "Лаборатории Касперского" известно пять его модификаций. Наибольшую опасность представляет последняя версия червя - Klez.e.
Данный червь рассылает себя по электронной почте, используя для рассылки сообщений протокол SMTP. Тема письма выбирается случайным образом, например:
Hi,
Hello,
Re:
Fw:
how are you
let's be friends
darling
don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
Тело заражённых сообщений: пустое или содержит случайный текст.
Запуск вредоносной программы происходит автоматически при просмотре письма. Для этого червь использует брешь в системе безопасности Internet Explorer, которая была обнаружена в марте 2001 г.
После запуска Klez.e устанавливает себя в системную папку Windows со случайным именем, которое начитается на "Wink", например, "Winkad.exe".
Червь ищет ссылки на EXE-файлы в следующем ключе реестра: Software\Microsoft\Windows\CurrentVersion\App Paths, пытаясь заразить найденные приложения.
Klez.e также заражает RAR архивы, записывая в них свои копии со случайным именем, а по 6-м числам нечётных месяцев ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.
Кроме того, червь пытается прекратить работу известных антивирусных программ, принудительно закрывая их исполняемые файлы среди активных процессов компьютера.
Процедуры защиты от "Klez.e" были добавлены в базу данных Антивируса Касперского более двух недель назад.
Бесплатную утилиту для обнаружения и удаления Klez Вы можете загрузить здесь. Мы также рекомендуем временно воздержаться от использования опции предварительного просмотра в почтовых программах.»
Интересно, как среагировали поисковые системы на мой запрос Klez.G. «Апорт» дал только одну ссылку на описание апдейтов к AVP на сервер http://ftp.aanet.ru/pub/avp/updates/, а Яндекс – кучу ссылок на практически один и тот же текст, распространенный многими информационными службами (всего около 3500 ссылок).
Вот еще некоторые сообщения из чатов, где мне что-то удалось узнать:
«про г не слыхала...а Н по сети три дня назад вылавливала, забавный зверек. Н не очень страшный...Е круче рассылает себя по адресной книге...и по сети используя шару...ничего особенного не делает вроде...кстати ему не надо чтоб вложения открывали, достаточно открыть письмо на чтение и он на диске использует IFrame в ИЕ и оутглюке. авп сносит на раз, при попытке инсталировать снова - сносит инсталяху, не дает посмотреть запущенные процессы… на авп утилитка валяется для ловли только она архивы не проверяет а вирь их заражает(rar)…у нашего админа тоже мыша.... правда к нему вирь по локалке пришел, а он его запустил…Из форума viruslist.ru по теме Klez.h:
26.04.2002 19:31 | AvleV CLRAV лечит (или удаляет) не все. Связка CLRAV+AVP monitor+AVP scanner+"/dev/hands/" поможет Вам. Если,конечно, у Вас есть "/dev/мозги/".
24.04.2002 10:55 | Андрюха Ну вот сегодня добили мы его. Как было: Юзерша пожаловалась - чё-то не работает, перегрузил машину - АВП грохнут, это было в конце дня. И сегодня понеслась: 1. Отключили сервер. 1.1 забыл: диски машины с грохнутым АВП подключили как сетевые к другой 2. С одной машины на другие закачали обновления. Параллельно закрыли все до этого общие папки 3. Запустили Сканер (если Сканер не может удалить - скорее всего ему мешает Монитор, в насторойках которого стоит - запретить доступ к объекту) 4. ! Всё-таки где-то пришлось чистить ручками. 5. Включили сервер (в сети папок с общим доступом уже нет), проверили, удалили, вытерли пот со лба. 6. !!! Не забывайте бить по рукам юзеров, которые пытаются работать до проверки (умные больно)
Пока все. Как говорится, «спасение утопающих – дело рук самих утопающих». А по поводу передачи текстовых файлов по сети Станислав Шевченко, приезжавший к нам недавно, заметил, что самым безопасным является по-прежнему формат TXT.
Сергей Балакирев.
Здесь приводятся патчи, а также небольшая статья о псевдобезопасности текстового формата RTF (позаимствованная на сайте kaspersky.ru).