Win32.Elkern.c

Безобидный зашифрованный резидентный Win32-вирус.

Рекурсивно ищет и заражает приложения Win32 (PE EXE-файлы), которые имеют расширения имени *.EXE и *.SCR в текущей директории, на жёстких и сетевых дисках и всех доступных сетевых ресурсах.

Вирус не заражает файлы, содержащие в своём полном пути строки " tem 32\ dllcac " (часть имени " System 32\ dllcache ") или " rary Inter " (часть имени " Temporary Internet Files "). При заражении записывается в файлы блоками, аналогично Win95.CIH.

Вирус содержит ошибку и заражает файлы повторно, что, однако, никак не сказывается на их работоспособности.

После запуска вирус остаётся в памяти и заражает все процессы, не содержащие строки "\explorer" в имени: он записывает в процессы часть своего тела и перехватывает функции DispatchMessageA и DispatchMessageW. При вызове одной из этих функций вирус запускает свою копию в текущем процессе.

Вирус никак не проявляет своего присутствия в системе.

Naka.509

Неопасный нерезидентный вирус. Ищет .EXE-файлы в текущем каталоге и записывается в их конец. В зависимости от текущей даты проявляется различными способами.

14 марта выводит текст "Birthday", пищит динамиком компьютера и завешивает систему. Каждый 4-й день месяца, начиная с 3-го (3,7,11,15,etc), записывает в CMOS в ячейку 40h байт A4h (в зависимости от типа BIOS этот байт имеет различные значения). В любой день, если год не 1999, выводит текст "Naka_007".

Вирус содержит строки: «Sebastopol IVS007 Время разбрасывать камни»

I-Worm.Klez

Для выбора имени (name.ext) вложения червь использует оригинальный метод. Он сканирует все доступные диски, ищет на них файлы с расширением имени:

.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg

и берет имя найденного файла (name.ext) как "базу" имени вложения, и затем добавляет второе расширение ".exe". Например: "Ylhq.htm.exe", "If.xls.exe" и т.п.

В заражённых письмах червь самостоятельно подставляет поле "From:". В зависимости от случайного счетчика червь либо подставляет туда реальный адрес отправителя, либо случайным образом генерирует фиктивный адрес, либоиспользует какой-либо реальный адрес, найденный на компьютере. В результате зараженное письмо отсылается якобы с адреса, который на самом деле никакого отношения к реально зараженному компьютеру не имеет.

Интересной особенностью червя является тот факт, что он при рассылке писем записывает в свой EXE-файл список найденных адресов электронной почты.

Все строки в теле вируса (тексты сообщений и адреса) хранятся в зашифрованном виде.

Распространение: локальные и сетевые диски

Червь перебирает все локальные диски, сетевые диски с правом доступа и копирует туда себя под случайным именем name.ext.exe (имя файла генерируется так же, как и имя вложения в заражённых письмах, см. выше). После копирования файла на сетевой ресурс червь регистрирует свои копии на заражённых компьютерах как системные приложения-сервисы.

Проявления

По 13-м числам чётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.

Другие версии

Известны несколько модификаций данного червя.

Версии "Klez.a-d" практически идентичны. Версии "Klez.e-h" также практически идентичны (см. отличия версии :"h" ниже).

Klez.e

Запуск вируса

Червь устанавливает себя в системную папку Windows со случайным именем, которое начитается на "Wink", например, "Winkad.exe".

Заражение

Червь ищет ссылки на EXE-файлы в следующем ключе реестра: Software\Microsoft\Windows\CurrentVersion\App Paths

Затем, червь пытается заразить найденные приложения. При заражении EXE файла, червь создаёт файл с оригинальным именем файла и случайным расширением, а также атрибутами скрытый+системный+только чтение. Этот файл используется червём для запуска оригинального (заражённого) файла. При запуске заражённого файла червь записывает оригинальное приложение во временный файл с тем же именем + "MP8" и запускает его.

Червь заражает RAR архивы, записывая в них свои копии со случайным именем.

Имя файла выбирается из списка:

setup
install
demo
snoopy
picacu
kitty
play
rock

К имени файла вирус добавляет два или одно расширения, последнее из которых - это ".exe", ".scr", ".pif" или ".bat".

Распространение: e-mail

Тема отсылаемых червём сообщений выбирается из следующего списка, или генерируется случайно:

Hi,
Hello,
Re:
Fw:
how are you
let's be friends
darling
don't drink too much
your password
honey some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look, my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures

Червь также может сгенерировать тему сообщения, используя строки из списка:

Undeliverable mail--%%
Returned mail--%%
a %% %% game
a %% %% tool
a %% %% website
a %% %% patch
%% removal tools

Где %% выбирается из списка:

new
funny nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez

Тело заражённых сообщений: пустое, или содержит случайный текст. Этот текст конструируется по некоторым правилам, в результате которых получается осмысленное сообщение:

Subject: A %1 %2
%1 %2
Body: This is a %1 %2
%3 or %4

где %1, %2 и %3 выбираются из вариантов:

%3 является строками:

This game is my first work.
You're the first player.

I wish you would enjoy it.
I hope you would enjoy it.
I expect you would enjoy it.

%4 содержит следующие строки:

%5 give you the %1 removal tools
%1 is a dangerous virus that spread through email.
%1 is a very dangerous virus that can infect on Win98/Me/2000/XP.
For more information, please visit http://www.%5.com

где %5 является именем одной из антивирусных компаний:

Symantec, Mcafee, F-Secure, Sophos, Trendmicro, Kaspersky

В результате получаются следующие письма:

A special new game
This is a new game
This game is my first work.
You're the first player.
I wish you would enjoy it.

A very funny website
This is a funny website
I hope you would enjoy it.

A very powful tool
Hello,This is a powful tool
I hope you would enjoy it.

A IE 6.0 patch
Hello,This is a IE 6.0 patch
I hope you would enjoy it.

W32.Elkern removal tools
Kaspersky give you the very W32.Elkern removal tools
W32.Elkern is a very dangerous virus that can infect on Win98/Me/2000/XP.
For more information, please visit http://www.Kaspersky.com

W32.Klez.E removal tools
W32.Klez.E is a dangerous virus that spread through email.
Kaspersky give you the W32.Klez.E removal tools
For more information, please visit http://www.Kaspersky.com

Присоединённый файл: Win32 PE EXE файл со случайным именем и расширением ".exe" или с двойным расширением.

Червь использует брешь в защите IFrame, чтобы запускаться автоматически при просмотре заражённых сообщений.

Проявления

По 6-м числам нечётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.

Другое

Червь случайно и в зависимости от различных условий добавляет к зараженному письму второй файл-вложение. Этот файл случайно выбирается на локальном диске из файлов, которые имеют расширения:

.txt .htm .html .wab .doc .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3

Т.е. такое письмо имеет два вложения - копия червя и случайно выбранный файл. Таким образом, действия червя могут привести к утечке персональной или конфиденциальной информации.

Червь ищет среди активных процессов те, которые содержат строки из следующего списка, и принудительно закрывает их:

Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
Virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32

Klez.h

Практически полностью совпадает с вариантом "Klez.e". Отличия:

Этот вариант червя не портит файлы (в коде червя данная процедура отсутствует). Расширен список вариантов полей Тема и Текст зараженных писем (Subject/Body). Одним из вариантов писем является следующий текст:

Worm Klez.E immunity
Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select "continue".
If you have any question,please mail to me.

Червь в некоторых случаях добавляет к зараженному письму второй файл-вложение с одним из расширений:

.txt .htm .html .wab .doc .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3

Этот файл случайно выбирается на локальном диске, что может привести к утечке персональной или конфиденциальной информации.

Червь также содержит текст:

Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work. No more than three weeks from having such idea to accomplishing coding and testing

Как вылечить компьютер, заражённый вирусом I-Worm.Klez?

1) отключите зараженный компьютер от локальной сети (если он в сети)
2) запустите утилиту clrav.com Если утилита говорит "nothing to clean" (нечего удалять), запустите её в режиме сканирования командных файлов: из командной строки с параметром /scanfiles

4) перегрузите машину в режиме Safe Mode

5) запустите утилиту clrav.com еще раз

6) переустановите антивирусный пакет и обновите антивирусные базы

7) запустите антивирусный сканер и проверьте все диски

Все машины в локальной сети следует пролечить отдельно.

Win32.FunLove

Предлагаем вашему вниманию подробное описание этого вируса от известного российского разработчика антивирусных систем безопасности компании "Лаборатория Касперского".

Вирус Win32.FunLove обнаружен в "диком виде" (In-the-Wild), т.е. для компьютерных пользователей существует реальная опасность заражения данным вирусом.

Win32.FunLove является неопасным резидентным паразитическим Win32 вирусом. Он заражает PE (Portable Executable) файлы на локальных и сетевых дисках. Благодаря своей способности размножаться по локальной сети вирус может заразить всю корпоративную сеть с одной рабочей станции, если ей предоставлены права записи на сетевые диски.

Файлы, зараженные вирусом Win32.FunLove, можно легко распознать по строке (название популярной западной рок-группы), содержащейся в его теле: "Fun Loving Criminal".

После запуска зараженного файла, вирус создает в системной директории Windows файл FLCSS.EXE ("Дроппер"), в который записывает свой "чистый" код, и затем запускает его на выполнение. "Дроппер" вируса является обычным файлом формата Win32 PE. Под операционными системами Windows 95 и Windows 98 он запускается в качестве скрытого (hidden) Windows приложения, а под Windows NT - как сервис. После этого активизируется процедура заражения системы.

В случае возникновения ошибки в процессе создания "дроппера" для заражения системы, вирус все равно запускает эту процедуру заражения, но уже непосредственно из своего тела, а не через "дроппер". Процесс поиска и заражения файлов происходит в фоновом режиме (thread), в результате чего уже зараженные файлы выполняются без заметных задержек.

В процессе заражения системы вирус сканирует все локальные диски от C: до Z:, затем просматривает дерево директорий сетевых ресурсов и заражает все PE файлы с расширениями .OCX, .SCR и .EXE. Вирус записывает свой код в последнюю секцию файла (увеличивая тем самым размер файла на 4099 байтов) и добавляет в стартовый адрес инструкцию "JumpVirus". Данная инструкция обеспечивает запуск вируса из последней секции файла перед выполнением самой программы.

Вирус проверяет имена файлов и не заражает файлы по следующим маскам: ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*.

Вирус имеет черты семейства вирусов "Bolzano" . Он изменяет файлы NTLDR и WINNT\System32\ntoskrnl.exe тем же самым способом, что и вирус "Bolzano". Измененные файлы можно восстановить из резервной копии.