Klez: почтовый червь и вирус "в одном флаконе"
Специалисты "ДиалогHауки" в последнее время отмечают возросшую активность
новых разновидностей почтового червя Klez, впервые обнаруженного в ноябре
2001 г. Особенно опасные модификации Klez стали появляться в последней декаде
января 2002 г. Тот факт, что этот червь уже в течение почти двух месяцев фактически
терроризирует компьютерный мир, свидетельствует о том, что вопросы компьютерной безопасности
до сих остаются в числе третьеразрядных для многих пользователей персональных компьютеров.
Серьезным напоминанием о недопустимости пренебрежения системной безопасностью стала активизация вируса Win32.Klez, который в упакованном виде распространяется вместе с одноименным почтовым червем (DrWeb идентифицирует его, как Win32.HLLM.Klez), произошедшая
6 марта 2002 года. "ДиалогНаука" сообщала об этом в своих новостях (см.
новость-предупреждение на эту тему).
Согласно данным, собранным службой технической поддержки "ДиалогНауки", в этот день вирус начал заполнять файлы-документы с расширениями
.doc (соответствует файлам Microsoft Word) и
.xls (соответствует файлам, составленным в Microsoft Excel) произвольным "мусором", фактически разрушавшим файл. Поскольку никаких нарушений в системе не наблюдалось, многие пользователи сразу не осознавали, что стали жертвами разрушительной работы вируса. К сожалению, те, кто заранее не позаботился о создании резервных копий своих файлов данных, уже никогда не смогут восстановить их содержимое.
Подобная активизация вируса Klez, как предполагается, будет происходить 6-го числа каждого нечетного месяца.
Описание вируса.
Распространение. Червь распространяется путем рассылки своих копий по электронной почте и,
попадая в новую систему, "инсталлирует" в нее вирус. Hа этом "пути" червя и
вируса расходятся: червь продолжает распространение, рассылая письма по
адресам из местной адресной книги Windows, вирус же приступает к заражению
программных файлов на локальных дисках, а также в доступных сетевых
каталогах. Особенно обращает на себя внимание быстрота распространения вируса именно в локальных сетях с большим количеством сетевых дисков на разных компьютерах, доступных для записи.
Что использует вирус? В письмах, рассылаемых червем Win32.HLLM.Klez, используется одна из
сравнительно давно известных уязвимостей MS Internet Explorer,
которая может приводить к автоматическому запуску червя при
простом просмотре такого письма в MS Outlook или MS Outlook Express.
Microsoft уже выпустила соответствующую заплатку (патч) для уязвимых
версий своего программного обеспечения; подробнее об этом см.
Microsoft Security Bulletin MS01-027
Признаки вируса. Тема письма выбирается червем случайным образом из следующего списка:
- How are you
- Let's be friends
- Darling
- Don't drink too much
- Your password
- Honey
- Some questions
- Please try again
- Welcome to my hometown
- the Garden of Eden
- introduction on ADSL
- Meeting notice
- Questionnaire
- Congratulations
- Sos!
- japanese girl VS playboy
- Look,my beautiful girl friend
- Eager to see you
- Spice girls' vocal concert
- Japanese lass' sexy pictures
Сам червь присутствует в письме в виде вложенного файла со случайным именем и
расширением .PIF, .SCR, .EXE или .BAT
Как защититься? В вирусную базу Doctor Web записи, относящиеся к этому червю и вирусу, оперативно добавлялись по мере обнаружения новых разновидностей. Мы еще раз призываем пользователей быть осторожными, а чтобы избежать проникновения на компьютер почтового червя и вируса Klez, держать включенным резидентный сторож SpIDer Guard. И конечно, регулярно (желательно ежедневно) обновлять вирусные базы Doctor Web на своем компьютере, а по мере выхода новых версий - и сами версии антивирусной программы.
29 января 2002 г.
(с дополнением от 7 марта 2002 года)
