Klez.e: nuova variante del worm Klez

• Indice
• Motivazione e consapevolezza dei vantaggi: armi efficaci contro il "culture shock" (07/05/12)
• Come vendere efficacemente su eBay e altri siti di annunci gratuiti (29/03/12)
• Creare password sicure e memorizzabili (29/03/12)
• Le tendenze beachwear e surfwear per l'estate 2012 (15/03/12)
• Comprare online senza rischi (16/03/12)
• Giocare a poker gratis (13/01/12)
• Viaggiare con Hostelbookers.com (18/01/12)
• Conto Arancio (01/05/12)
• Modello 730/2011 (10/04/11)
• Conto Corrente Arancio (1) (12/07/10)
• Conto Corrente Arancio (2) (14/07/10)
• Conto Corrente Arancio (3) (15/07/10)
• Assicurazioni online (11/09/09)
• Test di intelligenza (21/12/08)
• Curriculum vitae (08/08/08)
• Outlet online, gli acquisti di gruppo (11/03/08)
• Laurea con Cepu (20/12/07)
• BidPlaza: le aste al contrario (22/11/07)
• Furto di Identità (21/11/07)
• Scaricare film legalmente (26/10/07)
• Giochi televisivi 899 (30/08/07)
• Nasce SoloBlog.it (13/06/07)
• Un "Dico" per famiglia (09/02/07)
• Assicura la patente (05/02/07)
• Carta di credito gratis (23/01/12)
• Fineco, il conto... interessante (27/12/06)
• F24 online obbligatorio (22/09/06)
• Appla MAC G5 o Intel? (07/07/06)
• Guida al posizionamento nei motori di ricerca (30/04/06)
• Volare low cost (27/12/05)
• Guadagnare con Google AdSense (07/11/05)
• 892.892 attenti ai costi (02/09/05)
• Attenti agli auguri di Natale (14/12/04)
• Il worm Erkez o Zafi (18/06/04)
• WI-FI: nuova frontiera wireless (05/12/03)
• Aste online: affari sulla rete (16/09/03)
• Sobig.F: l'ultimo virus via E-mail (23/08/03)
• Blaster (Lovsan): il nuovo virus anti Microsoft (17/08/03)
• La patente a punti (07/07/03)
• Il PC spento che ti spia (31/01/03)
• Last Minute Travel (20/12/02)
• Spyware: una spia nel PC (04/06/02)
• Finti virus e catene di Sant'Antonio 05/05/02

Nuova variante del worm Klez

Parte 1: il problema

È stata recentemente identificata una nuova variante del worm Klez, scoperto a metà gennaio 2001 e largamente diffuso tramite internet.

La nuova variante è denominata "Klez.e" (identificativo completo: W32.Klez.E@mm). Anche questo worm si diffonde tramite particolari allegati alle E-mail, mediante la solita tecnica: una volta infettato un PC, il worm si occupa di estrarre gli indirizzi E-mail dai contatti di quel PC, e si auto-invia a quegli indirizzi, in background (senza che l'utente se ne avveda), infettando così altri computer.

Le E-mail contenenti il worm hanno oggetto casuale (in lingua inglese), e un allegato con nome casuale ma contenente estensione .bat .exe .pif oppure .scr.

È bene ricordare che queste estensioni indicano SEMPRE un file eseguibile, potenzialmente (ma non necessariamente) dannoso, e quindi non bisogna lanciarli se non si è assolutamente certi della loro origine. Altri worm sono soliti far precedere a tali estensioni eseguibili un'altra estensione dall'apparenza "inoffensiva", come .jpg .gif .mp3 .txt e così via, in modo da confondere l'utente e indurlo ad aprire l'allegato.

Talvolta il worm si invia (sempre tramite E-mail) sotto forma di falso antivirus, di gioco, o di lettere di auguri in particolari festività. Inutile dire che lo scopo è sempre quello di convincere l'ignaro utente a lanciare l'allegato.

Purtroppo però il worm sfrutta anche l'ormai tristemente noto problema di sicurezza di Explorer/Outlook su cui si basano diversi altri worm: la vulnerabilità della gestione MIME da parte di Internet Explorer 5.01 e 5.5, che consente l'esecuzione arbitraria degli allegati delle E-mail ricevute. In tal caso, basterà cliccare sull'E-mail e, anche senza lanciare l'allegato, il worm partirà automaticamente, infettando il PC.

Il worm Klez.e non si limita a diffondersi, ma è in grado di infettare i file eseguibili, ed è progettato per interferire con diversi noti antivirus, rendendoli inoffensivi. Inoltre ha una funzione distruttiva (payload) che si attiva il sesto giorno dei mesi di gennaio, marzo, maggio, luglio, settembre e novembre, e che consiste nel rovinare irrimediabilmente tutti i documenti (file di testo, documenti Word, pagine web), i fogli di calcolo (Excel), rubriche, immagini, foto, filmati, musiche, listati e altri file presenti sul PC infetto. Nei mesi di gennaio e luglio, poi, vengono distrutti non soltanto i tipi di file sopra elencati, ma indistintamente tutti i file accessibili in locale o tramite network. Infine, il worm rilascia nel PC il virus W32.Elkern.3587 (nuova variante del virus Elkern).

La presenza del worm è rilevabile effettuando un controllo nella directory di sistema di windows (solitamente \windows\system oppure \winnt\system). Il worm, se presente, avrà creato un file con il seguente nome: "WINK(alcuni numeri casuali).EXE" (ad esempio WINK45.EXE).

Anche nel caso di questo worm, dato che la vulnerabilità riguarda il motore di rendering HTML di Internet Explorer, il problema si estende a qualunque applicazione che si appoggi a tale motore, e principalmente Outlook e Outlook Express.

Parte 2: soluzione

Il problema dell'esecuzione (e dunque infezione) automatica degli allegati è limitato a Internet Explorer versione 5.01 (esclusa la 5.01 con Service Pack 2 installato) e la versione 5.5, e probabilmente anche alcune versioni precedenti. In altre versioni, il worm, sebbene non possa infettare automaticamente il PC, può comunque attivarsi se si lancia volontariamente l'allegato di una E-mail infetta.

Come soluzione temporanea si può disabilitare "File Downloads" nell'opzione Security Zone di Internet Explorer.

È però indispensabile porre al più presto rimedio alla vulnerabilità, applicando la patch di Microsoft, o effettuando l'aggiornamento completo a Internet Explorer 6.

La patch - che, ricordiamo, risolve solo il problema dell'esecuzione automatica, ma NON può in alcun caso rimuovere il virus - può essere scaricata da qui. Alternativamente si può scaricare una patch più recente che risolve anche altri problemi di sicurezza, cliccando qui. Entrambe le patch sono necessarie solo con Internet Explorer 5.01 e 5.5 (la versione 6 non è affetta da questa vulnerabilità).

Risolta la vulnerabilità, nel caso si sospetti di essere stati infettati, è necessario utilizzare un antivirus aggiornatissimo, oppure scaricare gratuitamente l'apposito tool antivirus (disponibile anche qui) in grado di scoprire e debellare il worm. Nota bene: questo tool serve solo a rimuovere il virus "Klez", ma Elkern - il virus che viene rilasciato nel pc dal Klez - non viene rimosso, e per rimuoverlo serve necessariamente un antivirus aggiornato).

Altri programmi utili:

Due soluzioni utili in caso di nuovi virus e di intrusioni: una è Agnitum Outpost Free, il firewall gratuito più potente sul mercato. E' in grado di bloccare le E-mail contenenti virus e troiani, le intrusioni via internet, e l'invio/ricezione di dati non autorizzato (utile ad esempio nel caso dei worm che trasmettono via E-mail i file .doc personali trovati sul pc infetto.

Una soluzione meno sofisticata ma comunque validissima è un altro software gratuito, AvirMail che consente di scegliere quali E-mail scaricare, filtrando quelle con allegati sospetti, e impedendo così, di fatto, l'esecuzione arbitraria di codice dannoso.

Aggiornato il 7 marzo 2002

Segnala questo sito ai tuoi amici!

Non hai mai preso in seria considerazione l'acquisto di un buon prodotto antivirus? Gratis.it ti consiglia:

• McAfee VirusScan
• Manuale contro i virus
• Teknosurf.it Email Antivirus
• Kaspersky AVP
• Panda Antivirus

Visita gli altri siti del nostro network:

• Uffa.it - il sito per chi sbuffa
• Notizie.net - tutta l'informazione in un click
• Soloblog.it - network di blog tematici
• Worldxs.net - risparmia al telefono
• Mchat.it - la community per chattare gratis
• Tuttosms.it - suonerie e giochi per il cellulare
• Smartshop.it - acquisti intelligenti