Il virus Klez e varianti, Antivirus, rimedi, prevenzione
Antivirus Labs
Il virus Klez.h@MM e le sue infinite varianti
by Pubblinet Switzerland
 Klez 

Autore: Marco Spiga
Data: 5.07.2002
Revisione: 31/03/2003
 

Klez si è diffuso molto rapidamente in tutto il mondo con le sue varianti. (Vedi sotto le statistiche), Il virus è veramente ben progettato, sfruttando in tal senso, vulnerabilità note di Microsoft Outlook Express per auto avviarsi (Vulnerabilità riguardante la gestione incorretta degli header, per maggiori informazioni contattate il sito della Microsoft) è riuscito a bucare moltissimi sistemi vulnerabili; il virus oltre ad auto-spedirsi ai contatti della propria rubrica postale è anche in grado di ricavare ulteriori contatti dai files presenti nel sistema della vittima, spedendosi insieme ad un altro file, scelto casualmente nell'hd, che presenta una delle seguenti estensioni: 

.txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3 .pdf 

L'oggetto e il corpo del messaggio possono essere sia prese dal sistema della vittima, sia da una lista che il virus possiede. 

Il vero problema di questo virus quale è? 

I processi che potrebbero bloccare la sua attività vengono immediatamente chiusi dal virus; se dovesse trovare un processo attivo come un antivirus allora quest'ultimo verrebbe terminato, la lista dei processi che verrebbero chiusi dal virus è la seguente: 

_AVP32 _AVPCC NOD32 NPSSVC NRESQ32 NSCHED32 NSCHEDNT NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32 NAVRUNR NAVW32 _AVPM ALERTSVC AMON AVP32 AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95 ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98 AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95 CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton Mcafee Antivir 

La cancellazione del virus diventa in questo senso abbastanza complicata. 

Inoltre il virus per autoavviarsi pone una stringa nel registry di Windows che si presenta in modalità random-parziale, poichè il nome creato è WINKxxx.exe, e le xxx sono casuali. 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 

Infine il virus infetta i file exe del sistema, adottando una strategia veramente intelligente, per evitare che eventuali programmi che verificano l'integrità dei files avvertano l'utente, il virus non modifica le dimensioni dei files quando li infetta. 

Statistiche dei virus intercettati dal sistema di posta elettronica dell'Ateneo.
Aggiornamento alle 01:57 del 14/08/2003

Virus della settimana

Intercettati negli ultimi sette giorni

W32/Bugbear-B 299
W32/Mimail-A 244
W32/Yaha-E 155
W32/Klez-H 57
W32/Bugbear-Dam 52
W32/Hybris-B 19
EICAR-AV-Test 15
W32/Yaha-P 9
W32/Fizzer-A 3
W32/Sircam-A 3
W32/Magistr-B 3
VBS/Cailont-A 2
W32/Higuy-A 2
JS/Fortnight-H 2
W32/Cailont-A 2
W32/Yaha-Q 2
VBS/Redlof-A 2
W32/Hybris-C 1
W32/Bugbear-A 1
Totale: 873

Per domini di provenienza (per Mail eXchanger primario)

Dati non disponibili

Virus totali

Dall'attivazione del servizio il 31 Luglio 2001

  11
Downloader-BO 2
Downloader-BO.dr 7
Downloader-M 2
EICAR-AV-Test 16
Exploit-MIME.gen 92
Exploit-MIME.gen.exe 131
Generic BackDoor 5
JS/Fortnight-H 4
JS/Fortnight.a@M 3
JS/Fortnight.b@M 7
JS/Fortnight@M 7
JS/Kak@M 3
JS/NoClose 2
Linux/Slapper.worm 1
M/Cap 1
PWS-gen.Hooker 289
roj/Knijpme 1
spam generico 2006
Unsafe 6
VBS/Cailont-A 2
VBS/Haptime.a@MM 25
VBS/Haptime@MM 179
VBS/LoveLetter@MM 1
VBS/Redlof-A 2
VBS/Redlof@M 149
VBS/Tam@M 2
virus non identificato 6855
W32/Aliz@MM 2
W32/Apology-B 1
W32/Avril-A 15
W32/Badtrans-B 3
W32/BadTrans@MM 2589
W32/Bugbear-A 5
W32/Bugbear-B 714
W32/Bugbear.dam 5
W32/Bugbear@MM 1999
W32/Cabanas.e 1
W32/Cailont-A 2
W32/Chir.b@MM 2
W32/Elkern.cav.c 8
W32/Fbound.c@MM 9
W32/Fix.12288@M 6
W32/Fizzer-A 6
W32/Fizzer.gen@MM 34
W32/Frethem.f@MM 3
W32/Frethem.l@MM 1273
W32/FunLove.gen 62
W32/Ganda 2
W32/Ganda-A 1
W32/Gibe-D 1
W32/Gibe@MM 44
W32/Gokar@MM 2
W32/Goner@MM 75
W32/Hai.worm 1
W32/Higuy-A 3
W32/Higuy@MM 1154
W32/Holar.h@MM 2
W32/Hybris-B 7790
W32/Hybris-C 2
W32/Klez-E 4404
W32/Klez-H 51376
W32/Klez.dam 70
W32/Klez.eml 80
W32/Klez.gen.b@MM 2
W32/Klez.gen2@MM 2
W32/Klez.gen@MM 2492
W32/Lirva 8
W32/Lirva.a@MM 679
W32/Lirva.dam 34
W32/Lirva.eml 1
W32/Lovgate.f@M 2
W32/Magistr-A 4035
W32/Magistr-B 3063
W32/Maldal.gen@MM 1
W32/Mimail-A 372
W32/Myparty.a@MM 182
W32/Myparty.uue 25
W32/Navidad.e@M 1067
W32/Navidad.gen@M 60
W32/Nimda.@MM 5
W32/Nimda.a@MM 11
W32/Nimda.eml 1
W32/Nimda.gen@MM 102
W32/Nimda.htm 102
W32/Palyh@MM 690
W32/Porkis-A 2
W32/Shoho.gen@MM 3
W32/Sircam-A 14
W32/SirCam.gen@MM 53
W32/SirCam@MM 16737
W32/Ska@M 3
W32/Sobig.a@MM 6
W32/Sobig.b@MM 1153
W32/Sobig.c@MM 148
W32/Sobig.dam 4
W32/Sobig.eml 4
W32/Taripox.worm.b 7
W32/Tinit.gen 1
W32/Yaha-E 365
W32/Yaha-P 9
W32/Yaha-Q 2
W32/Yaha.g.dam 4
W32/Yaha.g@MM 3538
W32/Yaha.k 1
W32/Yaha.k@MM 2
W32/Yaha.q@MM 5
W32/Yaha@MM 16
W95/Aldebaran 5
W95/CIH.1003a 90
W95/CIH.1003f 6
W95/Elkern.cav.c 268
W95/MTX.gen@M 5
W95/MTX@M 188
W95/Spaces.GR 1
W95/Tecata 1
W97M/Chack 2
W97M/Class 6
W97M/Claud.gen 3
W97M/Ethan 28
W97M/Generic 2
W97M/Marker 90
W97M/Marker.o 1
W97M/Melissa.a@MM 6
W97M/Melissa.o@MM 2
W97M/Panther.gen 5
W97M/Proverb.gen 18
W97M/Smac.gen 3
W97M/Story.gen 4
W97M/Thus.gen 42
W97M/Titch.d.gen 1
W97M/Tristate.gen 26
W97M/Wrench.e 1
WM/Cap 7
Totale: 117381

 
ADVERTISING

Il miglior traduttore

Links Utili
Software professionale
Elenchi telefonici gratis
Giornali di tutto il mondo
Indirizzi utili
Il tuo oroscopo
Gioco delle bandiere
Un po' di buonumore
Come nacque internet
Psico-Test (per lei)
Psico-Test (per lei)
Ottimi Links
Curiosità
Non dimenticarti
Notiziari  audio
Quattro risate
Clicca e Vinci

Il miglior traduttore
Ricerche delle origini
Lavoro da casa
Svago da casa
Risultati statistiche per regione

 
Qui trovate RAV, un ottimo
antivirus gratuito efficace contro il klez e anche il Bugbear@MM. Dovete solo scaricarlo, scompattarlo ed installarlo.

Riconosce attualmente oltre 90.000 virus, compresi gli ultimi vorms.

Se volete scaricarlo cliccate qui

Università degli Studi di Genova - Pubblinet Switzerland - 1995 - 2003