Március hatodikára, pontosabban minden páratlan hónap hatodikára időzítették készítői a Klez.e féregvírust. A Klez.e tulajdonképpen egy “ikervírus”, hisz a vírus a megfertőzött gépben aktiválja az ElKern vírus frissített változatát is.
A Klez.E Windows 98, Me, 2000 és XP operációs rendszereket támad. A vírus úgy ír felül fájlokat, hogy közben méretüket nem módosítja. Hasonlóan elődjeihez a vírus az Outlook Expressben található címjegyzéken keresztül terjeszti magát, különlegessége, hogy az ICQ programban meglévő címjegyzékhez is hozzáférkőzik.
A vírust tartalmazó e-mail rendszerint a következő tárggyal érkezik: “How are you”, “Let’s be friends”, “Darling”, “Don’t drink too much”, “Your password”, “Honey”, “Some questions”, “Please try again”, “Welcome to my hometown”, “the Garden of Eden”, “introduction on ADSL”, “Meeting notice”, “Questionnaire”, “Congratulations”, “Sos!”, “japanese girl VS playboy”, “Look,my beautiful girl friend”, “Eager to see you”, “Spice girls’ vocal concert”, “Japanese lass’ sexy pictures”.
Február Top 10 vírusa A riasztások százalékában:
• 1. Klez 61,5%
• 2. Badtrans.B 28.5%
• 3. SirCam 1,5%
• 4. Hybris 1,4%
• 5. Aliz 1,2%
• 6. Magistr 0,7%
• 7. Code Red 0,6%
• 8. Thus 0,4%
• 9. Petik 0,4%
• 10. Death 0,3%
Forrás: Vnu.net
Az e-mail szöveget nem, de csatolást rendszerint tartalmaz. A csatolás kiterjesztése .pif, .scr, .exe vagy .bat. Aktiválásához nem szükséges a csatolást kinyitni. A vírus a gépen a .txt, .htm, .html, .wab, .doc, .xls, .jpg, .cpp, .c, .pas, .mpg, .mpeg, .bak és .mp3. kiterjesztésű fájlokat írhatja felül.
A megfertőzött gépeken a féreg elindítja az ElKern vírus javított változatát, amely az operációs rendszerhez rejtett fájlokat ad. Windows 98 és Me operációs rendszereknél egy wqk.exe fájlt (HKLMSoftwareMicrosoftWindowsCurrentVersionRunWQK), míg Windows 2000 és XP rendszereknél egy wqk.dll fájlt (HKLMSoftwareMicrosoftWindowsNTCurrentVersionWindowsAppInit_DLL) tapaszt.
Állást kereső ázsiai programozó készíthette
A Klez.E-t tavaly novemberben észlelték először. A március 6-iai időzítés bája, hogy tíz évvel ezelőtt, ezen a napon indult útjára Michelangelo, az egyik első széleskörben elterjedt vírus. A Klez.e egyébként valószínűleg egy állástalan dél-ázsiai programozó remekműve, ugyanis a következő üzenet is tartalmazza: “made in Asia”, illetve “I want a good job, I must support my parents”, “I want a salary of $5.500 a month”. (Készült Ázsiában., Jó munkát akarok, mert támogatnom kell a szüleimet. Havi 5.500 dolláros fizetést akarok.”)
A vírusírtó cégek szerint a Klez.e csak mérsékelt rombolást okozott, amely elsősorban azzal magyarázható, hogy a vírust már hónapok óta ismerik a vírusírtó cégek, így volt idejük a felkészülésre. Ennek ellenére a Symantec vírusírtó cég öt fokú sáláján hármas fokozatot kapott, a Trend Micro pedig a 12. leggyakoribb interneten terjedő vírusnak nevezte. (A Trend Micro listáján megelőzi a tavalyi nagy borzalmakat, a Nimda-t és a SirCam-et is.)
Bár a Klez.E csak csekély kárt okozott, egy másik rejtélyes vírus az amerikai UBS PaineWebber brókercég rendszerét teljesen megbénította. A cégnek az USA-ban 20 ezer brókere és 2 millió ügyfele van.
Megelőzés: Az Internet Explorer 5.01 és 5.5 változatában meglévő Outlook Express hiányosságot, amelyet a vírus kihasznál befoltozhatjuk a következő link alatt. Aki nem szeretne foltozással foglalkozni, annak célszerű teljes Internet Explore 6-ot installálnia.
Eltávolítás: A legtöbb vírusírtó cég terméke már immunis a Klez.E-re. Vírusírtó frissítés: F-Secure, Norman, Sophos, Symantec, Trend Micro.
További információ az ElKern.B társvírusról a Sophos weboldalán .
