Rejtett üzenetek a szerzőtőlA Klez tavalyi első verziójában a szerző egy üzenetet is elrejtett, amelyben állásért könyörgött, elmesélte, hogy előző munkahelyén 5500 dollárt keresett, ebből szüleit is támogatta. A szöveg alapján a vírusírtók arra gyanakodtak, hogy a Klez szerzője egy állástalan ázsiai programozó.
A legújabb verzió is tartalmaz rejtett üzenetet: ebben a szerző közli, hogy nem ázsiai, és elmeséli, hogy sietett három héten belül befejezni művét, ezért “sajnos” bugos. Ám a féregnek van néhány “nagyon érdekes új vonása” is – figyelmezteti a szerző a vírusírtó cégeket.
A Klez régi féreg, először tavaly októberben tűnt fel. Szerzői rendületlenül frissítik, és a múlt héten elindított új verzió is átcsúszott a legtöbb vírusvédelmi rendszeren.
A brit MessageLabs a friss féreggel először múlt hétfőn találkozott egy kínai címről érkezett levélben. A vírusírtó cég kedd óta csak Nagy-Britanniában hatvanezer bejelentést kapott, és folyamatosan ég a Symantec vonala is. A Newsweeknek nyilatkozó cégvezető szerint jelenleg napi 1500 hívás fut be hozzájuk.
A Symantec közepes kockázatúnak minősítette a vírust, ötfokú skáláján hármas fokozatot kapott. Szerda óta a vezető vírusírtó cégek, mint a Symantec, a McAfee és a Sophos ellenállóvá tették rendszereiket a Klez.h változattal szemben.
Számtalan tárggyal érkezhet a levél
Hasonlóan a múlt évi csúcskártevőhöz, a Sircamhez, a Klez is találomra választ ki fájlokat – Word, Excel, HTML, Adobe Acrobat dokumentumokat, illetve JPEG és MPEG fájlokat – a fertőzött gép foldereiből, és azokat a címjegyzékben, illetve a frissített verzió már a merevlemezen található összes címre továbbküldi. A vírus a Microsoft Outlooknak egy 12 hónapja meglévő hibáját, az úgynevezett “Automatic Execution of Embedded MIME Type” bugot hasznolja ki. A bug azért különösen veszélyes, mert a gép képes úgy fertőzötté válni, hogy a felhasználó a mellékletben érkezett dokumentumot ki sem nyitja, csupán a levélre kattint rá.
A Klezt nem könnyű kiszúrni, a vírusos leveleknek számtalan tárgya lehet. (Eddig körülbelül 120 különböző tárgyat regisztráltak.) A levelek tárgya leggyakrabban a következő volt:
• Fw: A nice game
• Re: A WinXP patch
• Re: Good removal tools
• Fw: A humour website
• how are you
• For more information, please visit
A legkönyörtelenebb verzió figyelmeztető levélnek álcázza magát
A Klez.h legkönyörtelenebb verziója figyelmeztetésnek álcázza magát: a Klez egy korábbi változatára hívja fel a gyanútlan olvasó figyelmét, és az e-mailben a kártevő “ellenszerét” is kínálja. Az egyébként neves vírusírtó cég, a Kaspersky Lab címéről érkezett levél szövege a következő:
Worm Klez.E immunity
Klez.E is the most common world-wide spreading worm. Its very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic {sic}, most common AV software cant detect or clean it. We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once, and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm, some AV monitor maybe cry when you run it.
If so, Ignore the warning, and select continue.
If you have any question, please mail to me.”
A vírus vírust terjeszt
Akik a Klez.h vírust tartalmazó mailek mellékletét kinyitották, nagy eséllyel egy másik vírussal, a W32.Elkernnel is megfertőzték gépüket. Ez elsősorban a hálózatok megosztott könyvtáraiban lévő fájlokat támadja, és rendszerösszeomláshoz vezethet. Egyes források szerint a vírus minden év március, illetve szeptember 13-án megkísérli törölni a számítógépen lévő összes fájlt.
• A Microsoft által ajánlott védelem ingyen letölthető
a cég honlapjáról >>