Condividi:        

Win32/Klez.H@mm e simili

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Win32/Klez.H@mm e simili

Postdi fbistrus » 07/05/02 07:24

Carissimi,
mi è capitato che mi son tornate indietro delle mail mai spedite e qualche messaggio di server con antivirus funzionanti che mi informavano della presenza sulle mia mail (mai inviate) della famiglia i virus in oggetto.
Il fatto e che ho poi verificato l'antivirus, fatto tutte le scansioni possibili e scaricato i programmini di controllo ma non ho trovcato alcun file infetto da quei virus.
Come è possibile :?:
Grazie per le risposte.
fbistrus
Utente Junior
 
Post: 40
Iscritto il: 08/10/01 01:00
Località: Cagliari

Sponsor
 

Postdi BianConiglio » 07/05/02 09:05

Semplice, se hai l'antivirus aggiornato non ci sono particoilari problemi.

E' facile che sia un trucco del virus stesso. Infatti klez ed altri creano e mandano messaggi prefarati ad hoc per raggirare "l'utente medio".

Possono arrivare messaggi da case antivirus che spiegano come rimuovere il virus con un semplice tool allegatoo..FALSO! Il tool allegato E' IL VIRUS.

Possono arrivare mail da pseudo amici che invitano a giocare con il loro primo gioco creato ed allegato alla mail..FALSO !

Possono arrivare delle false mail-delivered-services ( si scrive così ?? ) contenenti in allegato l'allegato che, teoricamente, l'utente ha precedentemente spedito a qualcuno...la curiosità uccise il gatto...ed infettò l'utente curioso di vedere l'allegato "che non si ricorda di aver mandato"

Ci sono molte altre metodologie...

Insomma...diffidare...diffidare e diffidare.....ma con coscienza e serenità :lol:
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi dado » 07/05/02 11:51

Considera una cosa: le case produttrici di antivirus non mandano MAI gli aggiornamenti tramite file via email! 8)

Cmq, una breve descrizione del Worm Klez:

"Si tratta di una nuova variante della famiglia di worm Klez (i worm sono particolari tipi di virus che si diffondono in reti di computer), in grado di propagarsi via e-mail e attraverso risorse condivise su rete locale. Il worm sembra particolarmente diffuso.

Il Klez.h infetta i file eseguibili come un virus di tipo "companion", creando una copia nascosta del file originale e quindi sovrascrivendo quest'ultimo con una copia di se stesso.
La copia nascosta viene cifrata dal worm e presenta lo stesso nome del file originale ma estensione selezionata in modo casuale.

Per diffondersi via posta elettronica, il worm cerca gli indirizzi dei potenziali destinatari all'interno della Rubrica di Windows, nel database di ICQ (se installato sul sistema) e dentro una serie di file presenti sul computer:

· .mp8
· .exe
· .scr
· .pif
· .bat
· .txt
· .htm
· .html
· .wab
· .asp
· .doc
· .rtf
· .xls
· .jpg
· .cpp
· .pas
· .mpg
· .mpeg
· .bak
· .mp3
· .pdf


Il worm invia un messaggio infetto a tutti gli indirizzi trovati, contenente in allegato una copia di se stesso. Inoltre, il worm può allegare anche un file non infetto avente una delle estensioni sopra elencate, causando di conseguenza l'invio di informazioni riservate.

Il messaggio infetto si presenta nel seguente modo:

Da: scelto in modo tra gli indirizzi trovati sul computer infettato
Oggetto: scelto in modo casuale
Allegato: nome scelto in modo casuale


Il messaggio inviato dal worm è composto da stringhe selezionate in modo casuale. L'oggetto può essere uno dei seguenti:

· Undeliverable mail--"[Parola casuale]"
· Returned mail--"[Parola casuale]"
· a [Parola casuale] [Parola casuale] game
· a [Parola casuale] [Parola casuale] tool
· a [Parola casuale] [Parola casuale] website
· a [Parola casuale] [Parola casuale] patch
· [Parola casuale] removal tools
· how are you
· let's be friends
· darling
· so cool a flash,enjoy it
· your password
· honey
· some questions
· please try again
· welcome to my hometown
· the Garden of Eden
· introduction on ADSL
· meeting notice
· questionnaire
· congratulations
· sos!
· japanese girl VS playboy
· look,my beautiful girl friend
· eager to see you
· spice girls' vocal concert
· japanese lass' sexy pictures

La parola casuale è scelta nella seguente lista:

· new
· funny
· nice
· humour
· excite
· good
· powful
· WinXP
· IE 6.0
· W32.Elkern
· W32.Klez.E
· Symantec
· Mcafee
· F-Secure
· Sophos
· Trendmicro
· Kaspersky

Anche il corpo del messaggio è composto da un testo selezionato in modo casuale.
Dal momento che il worm sfrutta una vulnerabilità di Internet Explorer, se il messaggio infetto viene aperto con una versione non aggiornata di Microsoft Outolook o Outlook Express, il worm può attivarsi in modo automatico, senza intervento da parte dell'utente. I dettagli relativi alla vulnerabilità di sicurezza posso essere reperiti a questo indirizzo:

http://www.microsoft.com/technet/securi ... 01-020.asp

Il virus si diffonde via e-mail sfruttando un proprio motore SMTP, senza l'ausilio di client di posta elettronica.

Dettagli tecnici

Quando viene eseguito, il worm copia se stesso nella cartella di sistema di Windows, usando il seguente nome

Wink<caratteri casuali>.exe.

Quindi modifica il registro di sistema creando una delle seguenti chiavi

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

o

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[caratteri casuali]

Alle quali aggiunge come valore il nome del file creato nella cartella di sistema. In questo modo il worm verrà eseguito automaticamente ad ogni nuovo avvio di Windows.

Il worm tenta di disattivare una serie di antivirus residenti in memoria e altri due worm eventualmente presenti sul sistema, Nimda e CodeRed. Quindi il worm rimuove le chiavi di registro usate dagli antivirus al fine di partire in automatico all'avvio di Windows e tenta di cancellare i loro database:

· Anti-Vir.dat
· Chklist.dat
· Chklist.ms
· Chklist.cps
· Chklist.tav
· Ivb.ntz
· Smartchk.ms
· Smartchk.cps
· Avgqt.dat
· Aguard.dat

Il worm si diffonde anche in rete locale, copiando se stesso nei drive remoti.
Anche questa variante del Klez rilascia come dropper il virus Win32.Elkern, copiandolo nella cartella Programmi con un nome scelto in modo casuale ed eseguendolo subito dopo. Questa particolare variante del virus Win32.Elkern possiede un algoritmo di cifratura potenziato rispetto alle versioni precedenti, in modo tale da renderlo meno facilmente identificabile da parte degli antivirus, ed è privo di effetti distruttivi.


House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi fbistrus » 09/05/02 09:30

Sapete il problema è che continuano a tornarmi indietro messaggi del tipo:

- These recipients of your message have been processed by the mail server:
a_acqua@hotmail.com; Failed; 5.1.1 (bad destination mailbox address)

Remote MTA mx05.hotmail.com: SMTP diagnostic: 550 Requested action not taken: mailbox unavailable
--------------------------------------------------------------------------------
Return-Path: <fbistrus@libero.it>
Received: from Dry (151.38.92.198) by smtp2.libero.it (6.5.015)
id 3CD3D682003015FB for a_acqua@hotmail.com; Wed, 8 May 2002 11:29:53 +0200
From: upapath <upapath@tin.it>
To: a_acqua@hotmail.com
Subject: Darling
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=S6A06bGEHLo2614o01Ev84q

Oppure:
RAV AntiVirus for Linux i686 version: 8.3.0 (snapshot-20010925)

The file (part0001:href.scr) attached to mail (with subject ' Topmargin') sent by fbistrus@libero.it to aethus@gsmbox.it, is infected with
virus: Win32/Klez.H@mm.
Cannot clean this file.
The file was successfully deleted.

Last update: Wed May 1 16:57:02 2002
Scanning for 66321 malwares (viruses, trojans and worms).

Che ne pensate il virus l'ho io oppure sono generati ed inviati a me da alltri computer che sono infetti?
Faccio il controllo con norton 2002 aggiornato al 3 maggio e non ho nulla.
Scusarte se sono pedante ma io con il pc ci lavoro e se perdo i file sono nella cacca!
Saluti
fbistrus
Utente Junior
 
Post: 40
Iscritto il: 08/10/01 01:00
Località: Cagliari

Postdi BianConiglio » 09/05/02 09:56

Bè...a quanto dici...è possibile che l'infetto sia tu...
Dai un occhio qui http://www3.ca.com/solutions/collateral ... 65&ID=1705 e confonta con quanto è presente sul tuo pc.

When the attachment is executed, the worm drops a copy of itself into the System directory. It then sets up a registry key to run itself on Windows startup:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\="C:\WINDOWS\SYSTEM\"

The file name and registry value name are identical, and are randomly generated, but always begin with "Wink". For example, "Winkhj.exe".

.............
.............

PS: dici di aver paura ( come tutti ) di perdere dati...un BackUp è doveroso...meglio se fatto spesso :lol:
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi dado » 09/05/02 11:14

Aggiorna di nuovo l'AV: c'è già un aggiornamento all'8 maggio... ;)
Cmq, giusto per fare una verifica... e veder se l'av era a raccogliere funghi quando (ipotesi) sei stato infettato dal virus, come scritto precedentemente


Quando viene eseguito, il worm copia se stesso nella cartella di sistema di Windows, usando il seguente nome

Wink<caratteri casuali>.exe.

Quindi modifica il registro di sistema creando una delle seguenti chiavi

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

o

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[caratteri casuali]

Alle quali aggiunge come valore il nome del file creato nella cartella di sistema. In questo modo il worm verrà eseguito automaticamente ad ogni nuovo avvio di Windows.


quindi tu vai nel registro di sistema e controlla se trovi una di queste chiavi!

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

su klez 2

Postdi don » 13/05/02 13:12

guarda se la risposta che ho dato a klez 2 ti può essere di aiuto :idea:
col tempo tutto passa, anche la vita
don
Newbie
 
Post: 8
Iscritto il: 20/01/02 01:00
Località: roma

Postdi fbistrus » 16/05/02 07:28

Ho seguito i consigli di don e dado... ma non ho trovato nessun virus nel computer. Nemmeno le chiavi di registro sono state aggiunte.
Il problema che il ritorno delle email continua e non riesco a spiegarlo.
Ho installato anche l'AV di kaspersky (AVP) me non rileva nulla.
Per di più ora non mi viene visualizzato il logo di chiusura di win98. al suo posto una schermata di striscie colorate, poi tutto si spegne regorarmente.
Può essere comportamento da virus?
Ciao
fbistrus
Utente Junior
 
Post: 40
Iscritto il: 08/10/01 01:00
Località: Cagliari

Postdi dado » 16/05/02 15:49

Il ritorno delle email è normalissimo in qs caso, con qs virus.
Sinteticamente:
tu, non hai il pc infettato. Qualcuno che ha il tuo indirizzo email, invece, sì!
Il virus klez prende il tuo indirizzo email dalla rubrica di qs tuo amico/conoscente e lo usa x autoinviarsi ad altri contatti della rubrica.
Se qcuno dei contatti cui si invia non esiste, ha la casella di posta piena, o se il provider ha un 'filtro' contro i virus, è ovvio che l'email di errore verrà recapitata al mittente 'virtuale', cioè tu. Anche se tu non hai inviato alcuna email, ma il tuo indirizzo risulta cmq quello del mittente!
Che fare? Avvisare tutti i tuoi amici che qcuno di loro ha un virus e di fare una scansione al pc!

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi


Torna a Sicurezza e Privacy


Topic correlati a "Win32/Klez.H@mm e simili":


Chi c’è in linea

Visitano il forum: Nessuno e 64 ospiti