Архив

Бесплатная защита от интернет-червя Klez

В связи с многочисленными случаями заражения последней модификацией Интернет-червя Klez (Klez.e), «Лаборатория Касперского» разработала бесплатную утилиту для обнаружения и удаления данной вредоносной программы.

Утилита CLRAV производит поиск и нейтрализацию червя в оперативной памяти и жестком диске зараженного компьютера, а также восстанавливает оригинальное содержимое системного реестра Windows.

Помимо Klez, данная утилита эффективно борется с сетевыми червями Goner, SirCam, Navidad и BleBla, Klez.e.

CLRAV будет особенно полезен пользователям других антивирусных программ, которые могут некорректно обнаруживать и удалять «Goner».

При запуске данной утилиты «Лаборатория Касперского» рекомендует закрыть все пользовательские приложения, а после ее отработки перезагрузить компьютер, запустить антивирусный сканер и удалить оставшиеся зараженные файлы.

Напомним, что первая версия Интернет-червя Klez появилась в октябре прошлого года. На сегодняшний день «Лаборатории Касперского» известно пять его модификаций. Наибольшую опасность представляет последняя версия червя — Klez.e.

Данный червь рассылает себя по электронной почте, используя для рассылки сообщений протокол SMTP. Тема письма выбирается случайным образом, например:

Hi,
Hello,
Re:
Fw:
how are you
let’s be friends
darling
don’t drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls’ vocal concert
Japanese lass’ sexy pictures

Тело заражённых сообщений пустое или содержит случайный текст.

Запуск вредоносной программы происходит автоматически при просмотре письма. Для этого червь использует брешь в системе безопасности Internet Explorer, которая была обнаружена в марте 2001 г.

После запуска Klez.e устанавливает себя в системную папку Windows со случайным именем, которое начитается на «Wink», например, «Winkad.exe».

Червь ищет ссылки на EXE-файлы в следующем ключе реестра:
SoftwareMicrosoftWindowsCurrentVersionApp Paths, пытаясь заразить найденные приложения.

Klez.e также заражает RAR архивы, записывая в них свои копии со случайным именем, а по 6-м числам нечётных месяцев ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.

Кроме того, червь пытается прекратить работу известных антивирусных программ, принудительно закрывая их исполняемые файлы среди активных процессов компьютера.

Процедуры защиты от Klez.e были добавлены в базу данных Антивируса Касперского более двух недель назад.

Бесплатную утилиту для обнаружения и удаления Klez вы можете скачать из соответствующего раздела корпоративного сайта компании.

Мы также рекомендуем временно воздержаться от использования опции предварительного просмотра в почтовых программах.

Бесплатная защита от интернет-червя Klez

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике