Email-Worm.Win32.Klez

Дата обнаружения 07/02/2002
Класс Email-Worm
Платформа Win32
Описание

Практически полностью совпадает с версией Klez.e.

Этот вариант червя не портит файлы (в коде червя данная процедура отсутствует). Расширен список вариантов полей «Тема» и «Текст» зараженных писем (Subject, Body). Одним из вариантов писем является следующий текст:

Worm Klez.E immunity

Klez.E is the most common world-wide spreading worm. It’s very dangerous by corrupting your files.

Because of its very smart stealth and anti-anti-virus technic,most common AV software can’t detect or clean it.

We developed this free immunity tool to defeat the malicious virus.

You only need to run this tool once,and then Klez will never come into your PC.

NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.

If so,Ignore the warning,and select «continue».

If you have any question,please mail to me.

Червь в некоторых случаях добавляет к зараженному письму второй файл-вложение с одним из расширений:

bak



c



cpp



doc



htm



html



jpg



mp3



mpeg



mpg



pas



txt



wab



xls

Этот файл случайно выбирается на локальном диске, что может привести к утечке персональной или конфиденциальной информации.

Червь также содержит текст:

Win32 Klez V2.01 & Win32 Foroux V1.0

Copyright 2002,made in Asia

About Klez V2.01:

1,Main mission is to release the new baby PE virus,Win32 Foroux

2,No significant change.No bug fixed.No any payload.

About Win32 Foroux (plz keep the name,thanx)

1,Full compatible Win32 PE virus on Win9X/2K/NT/XP

2,With very interesting feature.Check it!

3,No any payload.No any optimization

4,Not bug free,because of a hurry work. No more than three weeks from having such idea to accomplishing coding and testing

Лечение

  1. Отключите зараженный компьютер от локальной сети (если он в сети)

  2. Запустите утилиту clrav.com.

  3. Если утилита говорит «nothing to clean» (нечего удалять), запустите её в режиме сканирования командных файлов: из командной строки с параметром /scanfiles.

  4. Перегрузите машину в режиме Safe Mode.

  5. Запустите утилиту clrav.com еще раз.

  6. Переустановите антивирусный пакет и обновите антивирусные базы.

  7. Запустите антивирусный сканер и проверьте все диски.

Все машины в локальной сети следует пролечить отдельно.