Внимание! Вирус Klez!

Вы уже знаете, что весь компьютерный мир поразил этот злобный вирус. Я его получил от Сироткиндта, тут же его уничтожил Касперским и предупредил Сироткиндта, поставил себе новый Нортон Анти-вирус. У меня все чисто. Вирус этот самостоятельно отправляет сообщения по произвольным адресам. Так, мне несколько раз приходили сообщения якобы от Хвости, Розова еще каких-то битломанов, но начинка была подозрительная, поэтому не открывал. Такие подозрительные сообщения необходимо удалять нещадно не открывая их. Подозреваю, что и вам могут приходить вирусные сообщения от якобы меня zuir@mail.ru. Если вы точно не ждете сообщений, лучше их удалять. Только что я получил сообщение со знакомым обратным адресом harriontour, кажется, это Ая. Написано, что это некая противовирусная программа, но я побоялся открывать, сразу удалил, очень уж подозрительным показалась эта программа (написано было на английском!). Будьте бдительны, берегите свои компы! Подробнее здесь (к сожалению на английском)

When this worm is executed, it does the following:

It copies itself to the file %windir%\Taskbar.exe

NOTE: %windir% is a variable. The worm locates the Windows main installation folder (by default this is C:\Windows or C:\Winnt) and copies itself to that location.

It then configures itself to start when you start Windows by adding the value:

Task Bar %windir%\taskbar.exe

to the registry key:

HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run

Next, the worm obtains the computer user's SMTP server, email address, and SMTP user name from the following registry entries:

HKEY CURRENT USER\Software\Microsoft\
Internet Account Manager\Accounts\00000001\SMTP Server

HKEY CURRENT USER\Software\Microsoft\
Internet Account Manager\Accounts\00000001\SMTP Email Address

HKEY CURRENT USER\Software\Microsoft\
Internet Account Manager\Accounts\00000001\SMTP Display Name

The worm then obtains email addresses from the Microsoft Windows Address Book and from .dbx, .wab, .mbx, .eml, and .mdb files, and sends itself to those addresses. The email message has the following characteristics:

Subject: Re: Your password!

Message:
ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

Attachments:
Decrypt-password.exe
Password.txt

NOTE: The Decrypt-password.exe attachment is a copy of the worm. It is packed with UPX and PE-Pack, and its size is approximately 48 KB. The second attachment, Password.txt, is a text file that is approximately 93 bytes in length. Password.txt is not viral by itself as such, it is not detected by Symantec antivirus products. However, if the computer was infected by W32.Frethem.M@mm worm, you should delete the file manually.

When the worm arrives by email, it uses both an IFRAME exploit and a MIME exploit, which allow the virus to be executed when you read or even preview the file. Information and a patch for MIME exploit can be found at http://www.microsoft.com/technet/security/bulletin/MS01-020.asp .

The worm creates the "IEXPLORE MUTEX AABBCCDDEEFF" mutex. This mutex allows only one instance of the worm to execute in memory.

After sleeping for several hours, the worm copies itself to C:\Windows\All Users\Start Menu\Programs\Startup\Setup.exe so that it is executed each time that you start Windows.


Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended threats have less avenues of attack and you have fewer services to maintain through patch updates.
If a blended threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files.
Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.
Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.



NOTE: These instructions are for all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.


1. Update the virus definitions, run a full system scan. Delete all files that are detected as W32.Frethem.M@mm.
2. Delete the value

Task Bar

from the registry key

HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run

Продолжение

For details on how to do this, read the following instructions.

To scan for and delete the infected files:
1. Obtain the most recent virus definitions. There are two ways to do this:
Run LiveUpdate, which is the easiest way to obtain virus definitions. These virus definitions have undergone full quality assurance testing by Symantec Security Response and are posted to the LiveUpdate servers one time each week (usually Wednesdays) unless there is a major virus outbreak. To determine whether definitions for this threat are available by LiveUpdate, look at the Virus Definitions (LiveUpdate) line at the top of this write-up.
Download the definitions using the Intelligent Updater. Intelligent Updater virus definitions have undergone full quality assurance testing by Symantec Security Response. They are posted on U.S. business days (Monday through Friday). They must be downloaded from the Symantec Security Response Web site and installed manually. To determine whether definitions for this threat are available by the Intelligent Updater, look at the Virus Definitions (Intelligent Updater) line at the top of this write-up.

Intelligent Updater virus definitions are available here. For detailed instructions on how to download and install the Intelligent Updater virus definitions from the Symantec Security Response Web site, click here.

2. Start your Symantec antivirus program, and make sure that it is configured to scan all files.
Norton AntiVirus Consumer products: Read the document How to configure Norton AntiVirus to scan all files.
Symantec Enterprise antivirus products: Read the document How to verify a Symantec Corporate antivirus product is set to scan All Files.
3. Run a full system scan.
4. Delete all files that are detected as W32.Frethem.M@mm.

NOTE: If NAV reports that it cannot delete an infected file, you must shut down the computer, turn off the power, and wait 30 seconds. Then restart the computer in Safe mode and run the scan again. All Windows 32-bit operating systems except Windows NT can be restarted in Safe mode. For instructions on how to do this, read the document How to start the computer in Safe Mode.

To remove the value from the registry:

CAUTION: Symantec strongly recommends that you back up the registry before you make any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify only the keys that are specified. Read the document How to make a backup of the Windows registry for instructions.

1. Click Start, and click Run. The Run dialog box appears.
2. Type regedit and then click OK. The Registry Editor opens.
3. Navigate to the following key:

HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run

4. In the right pane, delete the following value:

Task Bar

5. Exit the Registry Editor





Write-up by: Douglas Knowles

Судя по описанию, речь здесь идет о вирусе "W32.Frethem.K@mm". В тексте письма приходят два файла- текстовый и exe-шник. Вирус мерзкий, по традиции последнего времени включающий в себя трояна. Открывать эти файлы разумеется не надо, просто удалите такое письмо. AVP-шка и Нортон вроде со вчерашнего дня его узнают, так что установившим эти антивирусники можно особо не волноваться. Монстр66 - спасибо за предупреждение!

Забыл добавить- вирус использует старую брешь в Internet Explorer, поэтому, скорее всего, те кто пользуются таким обозревателем (а думаю фанатов Netscape уже не много осталось) могут подхватить такой вирус просто лазея по Интернету. Только без паники, просто ставьте антивирусное программное обеспечение и регулярно обновляйте его базы!

Ребята, не мучайтесь и ставьте свежий McAffee вкупе с каким-нибудь продвинутым email-checker-ом. И не будет у вас никаких вирусов...

Toha, тем Эксплорером, где была брешь, уж точно никто не пользуется.

Brian,6-ой тож дырявый:)) До ужаса:)

Вот сюды сходи, убедишься:

http://www.verad.ru/articles/article.php?idx=60


:)))))

Убедился ...

Да, дрянь порядочная! Спасибо всем предупредившим меня. Извиняюсь за созданные из-за меня проблемы.
Серж

На www.mcaffee.com есть подробная инструкция как удалить этот Klez/

А что надежнее в целом - Нортон Анти-вирус, Касперский или Маккафи?

Мне пришло письмо от Розова. Я не знаю, кто он, но, насколько я понял,он из форума. Говорит, что его комп заражен под завязку этим вирусом. Кто знает, как ему действенно помочь, сообщите, пожалуйста. Английским он не владеет, по всей видимости. Пишите сюда, на форум. Перевести английский текс, который я же и привел, мне сложно, там специалист компьютерщик должен разбираться. Еще раз прошу, все незнакомые сообщения, особенно с атачами, удаляйте не открывая!

> Мне пришло письмо от Розова.
> Я не знаю, кто он

Монстр66, ну ты даешь, это же RICCI, с которым мы не одну и не две бутылки пива распили. ;-))))))))

Wow

>тем Эксплорером, где была брешь, уж точно никто не пользуется.
Если не пользуются, почему тогда вирус распространяется? ;-)
Вот небольшая выдержка из Security Nesline:
Бага с IFRAME, позволющая активировать вредоносный код прямо во время чтения письма, обнаружена год назад. Hесколько неожиданно выглядит появление нового червячка под названием "Frethem",использующего эту дыру. Раз пишут, значит есть куда применять ;)

А по поводу McAffee- каждый хвалит то, с чем работает или к чему привык.

Ну вот.....
Приходится защищаться...
Английским-то я владею вполне прилично, просто у меня нету никаких антивирусов на компе, а так я такая же жертва как и все остальные, да и письма заразные тер сразу, не открывая, как учили...
:-)

Привет Риччи!
"Мне пришло письмо от Розова. Я не знаю, кто он такой"

Слог то какой, а?

Klez сам формирует и получателя и отправителя вирусного письма. То ли из адресной книги, то ли еще как-то... Короче совсем необязательно, что письмо пришло именно от того, кто указан отправителем.

>у меня нету никаких антивирусов на компе...
Зато теперь троянец в компе сидит, а это значит, кто-то может полазить по вашему компу и такого натворить... Лечитесь граждане, это не СПИД, лечение возможно.

А вот что мне пришло однажды по электронной почте. Было это в прошлом году в начале октября - после американской трагедии с небоскребами.
-----------
FW: Taliban virus
DEAR RECEIVER,
You have just received a Taliban virus. Since we are
not so technologically advanced in Afghanistan, this is a
MANUAL virus.Please delete all the files on your hard disk yourself
and send this mail to everyone you know.
Thank you very much for helping me.
Abdulla
Talibanian hacker
Allah Akbar

Очень доброе и душевное письмо от наших меньших арабских братьев

<<Вы уже знаете, что весь компьютерный мир поразил этот злобный вирус. Я его получил от Сироткиндта>>

Сергей, извини ради Бога, что так написал, не подумав. Конечно, никто не виноват в существовании этого чертового вируса. Вернее, кто-то их придумывает, но ты не причем

Sorry

А с другой стороны, если я тер эти письма не открывая, то с чего вы взяли, что на компе стоят трояны?
То Монстр66:
Слог? Какой-то не ритмичный,но если поднапрячься и интонациями "разукрасить" эту фразу, то получается действительно забавно.
Ну вот, теперь весь читающий форум узнал мою фамилию.....

ТО Алекс 4:
Привет,Леш!
Вирус жутчайший.
Да, юмор отменный,еле сдержался, чтобы не засмеяться во весь голос...
Такая "тонкая" Восточная штучка...
Прикольно, оценил, спасибо -даже настроение поднялось благодаря тебе.
:-))

Проконсультировался со специалистом. Тем, у кого побывал этот чертов вирус, необходимо, естественно, провериться и удалить его с помощью обычного Касперского или Нортона анти-вируса. Но, исчезнув с вашего компа, он сохранится в меж-адресной рассылке, то есть, вам будут приходить в почтовый ящик провокационные зараженные сообщения с приложениями (вы их легко выявите), и от вас кому-то будут приходить такие же сообщения якобы от вас. Эти сообщения необходимо просто тупо удалять, не открывая (как комаров в помещении). Спустя, примерно, месяц вирус исчезнет.

Господа продвинутые, помогите чайнику!
У меня стоит Нортон, он еженедельно проверяет, но не обновляется.
Как сделать, чтобы он обновлялся?
Заранее сеньку :-)