Szerző: Ady Krisztián

2002. május 29. 17:57

A Klez a SirCamot is megelőzve minden idők legfertőzőbb vírusa lett

[ZDNet] Minden idők legpusztítóbb vírusjárványát okozták, okozzák a Klez.H vírus és annak különböző variánsai. Az e-mail féregnek sikerült a híres-nevezetes SirCam vírust is lepipálni a terjedési statisztikák szerint. A vírus április óta fertőzi elektronikus levelezés segítségével a felhasználók számítógépeit.

[ZDNet] Minden idők legpusztítóbb vírusjárványát okozták, okozzák a Klez.H vírus és annak különböző variánsai. Az e-mail féregnek sikerült a híres-nevezetes SirCam vírust is lepipálni a terjedési statisztikák szerint. A vírus április óta fertőzi elektronikus levelezés segítségével a felhasználók számítógépeit.

A MessageLabs víruskutató cég szerint -- mely főként vállalati levelezések szűrését végzi -- a Klez.H lekörözte a SirCam férget az elmúlt hét vasárnapi napján, s továbbra is komoly ütemben terjed. Minden egyes nap 20 000 körüli példányszámban blokkolják a vállalat szerverei a Klezt és annak különböző változatait. Mostanáig a MessageLabs több mint 800 000 Klez.H férget távolított el az elektronikus levelekből.

A Klez.H "sikere" az eltérő terjedési metódusnak köszönhető, mivel egyes vírusfigyelő szoftverek jellegzetes tartalmat és tárgyi szöveget keresnek, s ezeken a védelmeken Klez.H féreg könnyedén átcsúszik.

A Klez.H több különböző tárgysori szöveget használ, ezeket keveri, folyamatosan cserélgeti. A tárgysorokat 18 különböző típusból válogatja, a szöveget hétféle témakörből választja, melyek az "a x game", "a x patch" szövegrészt tartalmazzák. Itt az X 16 különböző szó lehet, "new", "WinXP" és jellemzően antivírus cégek nevei.

A vírus gyors terjedéséhez és az automatikus fertőződéshez nagyban hozzájárul, hogy a több mint 12 hónapja létező -- és patch formájában régen befoltozott -- Microsoft Outlook biztonsági rést kihasználva a csatolt vírus automatikusan lefuthat, s ehhez az adott levelet meg sem kell nyitni, elég megtekinteni. Fontos megjegyezni, hogy a kiadott frissítéssel rendelkező Outlook levelezőprogramon keresztül már nem tud megtekintésre fertőzni a Klez.H, de a csatolt állomány óvatlan elindítása értelemszerűen továbbra is fertőzést okoz.

A fertőző csatolmány előszeretettel keres a géphez csatlakoztatott hálózati meghajtókat, így hálózati környezetben még nagyobb veszélyeket hordoz magával a fertőzés. A létrehozott file neve teljesen véletlenszerű, legtöbbször .EXE, .PIF, .COM, .BAT, .SCR vagy .RAR kiterjesztésű. Nem ritka a dupla kiterjesztés használata sem.

A vírus e-mail címek után is kutat, s levelezőprogramtól függetlenül, saját beépített programjával küldi magát tovább, meghamisított küldő e-mail címet használva. Ezért egyáltalán nem nevezhető ritkának, hogy vírustiszta géppel rendelkező felhasználó is kap visszjelzést állítólag tőle származó vírusos e-mailről.

Végezetül a vírus megpróbálja törölni a telepített vírusírtó szoftverek regisztrációs bejegyzéseit, leállítja a futó vírusírtó programokat és eltávolítja a vírusírtók adatbázisait.

A Klez.H alig három nap alatt érte el terjedési volumenének csúcsát, s azóta szinte töretlenül, ezt a terjedési számot fenntartva fertőzi a felhasználók gépeit. A MessageLabs naponta közel 20.000 példányt fog el ebből a féregből, miközben a "haldokló" Sircam már csak 500-1,000 közötti számban van jelen a statisztikákban.

Mik azok a sötét mintázatok, vagy ahogy az angol nevezi őket, dark patternek? Miért találkozunk egyre többször velük és mit tehetünk, hogy ne kerüljünk a csapdájukba?

a címlapról