= Безопасность =
БЕСПЛАТНАЯ ЗАЩИТА ОТ ИНТЕРНЕТ-ЧЕРВЯ KLEZ
Мартин Кемп aka Snob lightnet@obninsk.ru
по материалам http://viruslist.com - Разработчик антивирусного ПО "Лаборатория Касперского"
В связи с многочисленными случаями заражения последней модификацией интернет-червя Klez (Klez.e), "Лаборатория Касперского" разработала бесплатную утилиту для обнаружения и удаления данной вредоносной программы.
Утилита CLRAV производит поиск и нейтрализацию червя в оперативной памяти и жестком диске зараженного компьютера, а также восстанавливает оригинальное содержимое системного реестра Windows. Помимо Klez'a данная утилита эффективно борется с сетевыми червями Goner, SirCam, Navidad и BleBla, Klez (Klez.e).
CLRAV будет особенно полезен пользователям других антивирусных программ, которые могут некорректно обнаруживать и удалять "Goner".
При запуске данной утилиты "Лаборатория Касперского" рекомендует закрыть все пользовательские приложения, а после ее отработки перезагрузить компьютер, запустить антивирусный сканер и удалить оставшиеся зараженные файлы.
Напомним, что первая версия Интернет-червя Klez появилась в октябре прошлого года. На сегодняшний день "Лаборатории Касперского" известно пять его модификаций. Наибольшую опасность представляет последняя версия червя - Klez.e. Данный червь рассылает себя по электронной почте, используя для рассылки сообщений протокол SMTP. Тема письма выбирается случайным образом, например:
Hi,
Hello,
Re:
Fw:
how are you
let's be friends
darling
don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
Тело заражённых сообщений: пустое или содержит случайный текст. Запуск вредоносной программы происходит автоматически при просмотре письма. Для этого червь использует брешь в системе безопасности Internet Explorer, которая была обнаружена в марте 2001 г.
После запуска Klez.e устанавливает себя в системную папку Windows со случайным именем, которое начинается на "Wink", например,"Winkad.exe".
Червь ищет ссылки на EXE-файлы в следующем ключе реестра:
Software\Microsoft\Windows\CurrentVersion\App Paths, пытаясь заразить найденные приложения. Klez.e также заражает RAR архивы, записывая в них свои копии со случайным именем, а по 6-м числам нечётных месяцев ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий. Кроме того, червь пытается прекратить работу известных антивирусных программ, принудительно закрывая их исполняемые файлы среди активных процессов компьютера.
Процедуры защиты от "Klez.e" уже давно добавлены в базу данных Антивируса Касперского. Бесплатную утилиту для обнаружения и удаления Klez Вы можете загрузить c ftp://ftp.kaspersky.ru/utils/clrav.com. Также рекомендуется временно воздержаться от использования опции предварительного просмотра в почтовых программах.
|