Klez - robak pocztowy

Klez jest kolejnym robakiem z dużej rodziny robaków internetowych rozsyłających się pocztą elektroniczną.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do odpowiednio spreparowanego listu elektronicznego w standardzie HTML. Robak do swojego uruchomienia korzysta z błędu w programach Microsoft Outlook i Outlook Express, pozwalającego na uruchomienie pliku załącznika na podstawie deklaracji rodzaju tego pliku w kodzie listu, a nie rzeczywistego rodzaju tego pliku. Dla infekcji w tych programach (bez zainstalowanych łat) wystarczy obejrzeć treść wiadomości w podglądzie, aby uruchomił się plik robaka z załącznika. List zawierający robaka ma jeden z poniższych tematów:

How are you?

Can you help me?

We want peace

Where will you go?

Congratulations!!!

Don't cry

Look at the pretty

Some advice on your shortcoming

Free XXX Pictures

A free hot porn site

Why don't you reply to me?

How about have dinner with me together?

Never kiss a stranger

Hi

<b>treść:</b>

I'm sorry to do so,but it's helpless to say sorry.

I want a good job,I must support my parents.

Now you have seen my technical capabilities.

How much my year-salary now? NO more than $5,500.

What do you think of this fact?

Don't call my names,I have no hostility.

Can you help me?

oraz losową nazwę pliku załącznika.

Robak po aktywacji tworzy na dysku swoją kopię w pliku o nazwie wqk.exe. umieszczając go w katalogu c:\windows\system oraz umieszcza w katalogu c:\windows\system samego siebie pod nazwą krn132.exe. Poza tym wpisuje wywołanie obu tych programów do rejestrów systemu do klucza:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

dla automatycznego uruchamiania przy każdym starcie systemu Windows.

Następnie Klez rozsyła się za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w książce adresowej systemu Windows.

Dodatkowo robak instaluje w systemie wirusa ElKern oraz każdego 13 dnia miesiąca stara się wyzerować zawartość plików na dysku lokalnym oraz dostępnych zasobach sieciowych

Zobacz również:

  • Powstał ciekawy sposób na blokowanie niechcianych wiadomości e-mail
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200