Pozor na e-maily! Červ KLEZ opět útočí!

Po delší době v podřimování se opět začal masivně šířit červ Klez. Jeho autor změnil kód červa tak, aby unikl antivirovým kontrolám, které hlídaly jeho dřívější varianty.

W32/KLEZ je e-mailový červ, který má do jisté míry podobnou vlastnost jako  červ Nimda – umí se za určitých podmínek spustit již při pouhém otevření infikované zprávy. Nutným předpokladem této akce je existence bezpečnostní díry v Internet Exploreru.

E-mail, ve kterém se červ šíří je poskládán z různých předdefinovaných komponent. Tělo zprávy neobsahuje žádný viditelný text, ale pouze skrytý komentář, ve kterém pisatel viru předává svůj vzkaz.

Pokud je červ spuštěn, ukládá si svoje soubory do kořenových adresářů lokálních a síťových disků, vytváří si klíče v registrech a pokouší se šířit po lokální síti přes síťová sdílení. O šíření přes lokální síť se červ opakovaně pokouší v osmihodinových intervalech. Obsahuje také rutinu pro skenování “namapovaných” disků, která ale díky obsažené chybě nefunguje.

E-mailový červ KLEZ funguje jako přenašeč pro polymorfní virus ElKern. Ten dále napadá nejen aplikace EXE a SCR, ale také svého “přepravce”. Má schopnost šíření i prostřednictvím lokální sítě.

Není to poprvé, co se objevila koexistence dvou či více škodlivých kódů v jednom “balení”. V tomto případě se však díky vzájemné nezávislosti obou škodlivých kódů dá opravdu mluvit o něčem více než neobvyklém.

Bližší informace o tomto červu se můžete dozvědět například u Symantecu.

Diskuze (82) Další článek: Další disk s 8 MB cache od WD

Témata článku: , , , ,