Klez: Půl roku trápení

První varianta e-mailového červa Klez se objevila na konci října 2001. Asi nikdo v tu chvíli netušil, že neznámý aut...


První varianta e-mailového červa Klez se objevila na konci října 2001. Asi
nikdo v tu chvíli netušil, že neznámý autor chystá postupně další a další verze
tohoto "dárečku" a že se s nimi budou uživatelé i administrátoři potýkat
nejméně půl roku. Navíc dost možná, že na cestě jsou i další mutace.
Klez se šíří především prostřednictvím elektronické pošty (ale také přes
sdílené disky na síti), přičemž infikovaná zpráva má jednu nebo dvě přílohy
jednou je vždy samotný Klez, druhá může představovat dokument odcizený z dříve
napadeného počítače. Vlastní Klez je exe soubor o velikosti 57 až 65 kilobajtů
(v závislosti na verzi červa) napsaný v Microsoft Visual C++.
Červ je schopen využít bezpečnostní nedostatek některých poštovních klientů
(tzv. IFRAME trik) k tomu, aby byl aktivován již při pouhém otevření e-mailové
zprávy. V případě, že má uživatel zapnut automatický náhled (Preview), tak
dochází k aktivaci červa samočinně bez toho, aby se na ní uživatel jakkoliv
podílel.
Klez neputuje světem sám, ale nosí s sebou také čistokrevný počítačový virus
ElKern. Zatímco e-mailový červ je škodlivým kódem sám o sobě, virus potřebuje
pro svou existenci nějakou hostitelskou aplikaci (v daném případě exe soubory).
Aby se mohl šířit v lokální síti, vytváří exe soubor začínající na písmeno "k"
s náhodným jménem ve složce Temporary (např. KB180), do něj zapisuje virus
ElKern a aktivuje jej. Výsledkem je infikování většiny exe souborů na
dostupných discích (lokálních i síťových).
Zpět k vlastnímu Klezu. Jakmile je infikovaný soubor u e-mailu spuštěn, červ
nakopíruje sám sebe do systémového adresáře Windows pod jménem krn132.exe a
následně se zapíše do registrů:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Krn132 = %System%Krn132.exe
(kde %System% je umístění systémové složky v daném počítači.)
Pokud se mu podaří na počítači odhalit některou z běžících antivirových
aplikací, pomocí příkazu "TerminateProcess" se ji pokouší ukončit. Jedná se
tedy vlastně o přímý útok na antivirové programy. Při správně aktualizovaném,
nastaveném a používaném bezpečnostním systému by se však Klez nikdy neměl
dostat až k tomuto bodu své činnosti a měl by být zastaven ihned při vstupu do
počítače.
Pro šíření prostřednictvím elektronické pošty Klez využívá seznamu WAB (Windows
Address Book), ve kterém vyhledá adresy a odešle se na ně. Předmět zprávy je
vytvořen náhodně z několika variant, stejně jako tělo e-mailu. Tyto varianty
jsou předdefinované a Klez si je "vláčí" s sebou. Příloha u zprávy má náhodné
jméno a vždy příponu exe.
Pozor! Kolonku "Od" (tedy e-mailovou adresu uživatele, z jeho počítače byla
zpráva odeslána) může ponechat v původním tvaru, ale stejně tak ji může
nahradit jinou adresou. V tom případě je obtížné určit, z jakého počítače byl
infikovaný e-mail odeslán.
Jak již bylo výše uvedeno, Klez je schopen se šířit nejen na lokálních, ale
také na síťových discích. Zkontroluje si disky s právem zápisu a vytváří na
nich své kopie, které vzápětí na napadaných počítačích registruje jako
systémové služby.
Vždy třináctého každého měsíce jsou všechny soubory na dostupných discích
(lokálních i síťových) přepsány náhodnou směsicí znaků. Původní obsah souborů
není možné obnovit a je nutné jej zrekonstruovat ze záloh.
Dosavadní popis představoval charakteristiku verze Klez.A, z níž ovšem všechny
ostatní varianty vycházejí a od níž odlišují se jen v detailech. Výraznější
rozdíly vykazují až verze označované písmenem "E" a vyššími.
Klez.E se po vstupu do počítače nakopíruje do systémového adresáře pod náhodným
jménem, které začíná na "wink" (např. winkae.exe). Mimo to je schopen infikovat
také RAR archivy nakopírováním sebe sama do nich pod jedním z osmi různých
názvů (např. setup, install, demo) se dvěma příponami, přičemž druhá z nich je
exe, scr, pif nebo bat. Každého šestého dne v sudém kalendářním měsíci spustí
svou destrukční rutinu, která je stejná jako v případě původní verze červa
náhodnými daty přepíše všechny soubory na dostupných discích. Klez.E se nejenom
snaží ukončovat běžící procesy antivirových programů, ale také se pokouší mazat
jejich databáze.
Zatím nejnovější verze Klez.H je velmi podobná variantě "E" s nejpodstatnějším
rozdílem v tom, že nemá destrukční rutinu a nelikviduje soubory. Červ v
počítači vyhledává soubory s vybranými extenzemi a za určitých okolností je
schopen je přidávat jako přílohu k infikovanému e-mailu. Z napadeného počítače
tak mohou odejít i data citlivého charakteru.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.