torna all'home page
 
  Spazio Culturale
 
MANUALI

accesso diretto
 OFFICE
   access2000
   excel2000
   word2000
   backup
   virus
 TOOLS
   harddisk
   registry
   winzip
   dos
 WEB
   flash5
percorso:: _Home > _Manuali > _VIRUS > _Capitolo 05 > _Capitolo 01
fine testo aumenta dimensioni testo diminuisci dimensioni testo informazioni indice manuale VIRUS indice capitolo 05
     Manuale VIRUS
05.01    APPROFONDIMENTI VIRUS PER VIRUS     
WORM_KLEZ.H    
 aggiungi ai preferiti

DESCRIZIONE

Si tratta di un virus mass-mailing worm, residente in memoria, variante del WORM_KLEZ.A, che utilizza il protocollo SMTP per propagarsi attraverso la posta elettronica. Altri nomi con cui può essere chiamato, ALIAS, sono: W32/Klez-G, I-Worm.Klez.h, I-Worm.W32/Klez.gen@MM, W32.Klez.H@mm.
Quando viene eseguito, il programma crea una enty nel registro di configurazione per partire ad ogni avvio, quindi infetta i file con estensione .EXE, cioè i programmi utilizzati dall’utente. Crea nuovi file con lo stesso nome, copiando il codice virale all’interno dei file stessi. Il virus comprime e codifica i file eseguibili che lo costituiscono, cambiando il nome dei file con quelli dei programmi originali e si assicura che la dimensione dei file infetti sia identica a quella dei file originali. Inoltre, configura tali file con gli attributi sola lettura, sistema, nascosto e archivio (tutti gli attributi della FAT).
Quando è entrato in una macchina, chiude l’eventuale antivirus presente e impedisce l’esecuzione dell’antivirus stesso.

PROPAGAZIONE

Per propagarsi il visus crea messaggi di posta elettronica contenenti come allegato un file eseguibile, infetto. L’utente riceve una e-mail con un oggetto scelto casualmente da una lista. Il programma cerca gli indirizzi a cui spedire mail infette tra i dati dell’utente, utilizzando le agende presenti nei programmi di posta. I messaggi vengono spediti con il mittente modificato, in modo che non si possa risalire al mittente originale. Per esempio, se l’utente Alice ha il PC contagiato dal virus e ha nell’agenda di posta elettronica gli indirizzi di Bob e Carlo, viene spedita una mail a Carlo, con mittente Bob. Alice non si accorge della spedizione del messaggio e nemmeno Bob. Carlo riceve un messaggio da Bob e, se si accorge che l’allegato è infetto, cercherà di avvisare Bob dell’infezione.
L’oggetto delle mail spedite può contenere una delle seguenti stringhe:

how are you
let's be friends
darling
so cool a flash,enjoy it
Your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures

Il programma allegato alla mail ha nomi sempre diversi, con una delle seguenti estensioni: EXE, SCR, PIF, BAT, TXT, HTM, HTML, WAB, DOC, RTF, XLS, JPG, CPP, PAS, MPG, MPEG, BAK, MP3 e PDF.
Una volta eseguito, il programma si autodecodifica e crea il file Wink*.exe nella directory di sistema, di solito C:\Windows\system. In seguito crea il file wqk.exe e modifica il registro di configurazione.
Nelle esecuzioni successive, il virus cerca i file eseguibili per infettarli e sostituirli.
Se questo worm infetta un PC appartenente ad una rete informatica, la propagazione avviene cercando tutte le cartelle condivise nella rete, infettando i file eseguibili e creando file con le seguenti estensioni: EXE, SCR, PIF, BAT, BAK, RAR, PDF in tutte le condivisioni.

ISTRUZIONI PER RIMUOVERE IL VIRUS

  1. Si deve riavviare il computer in modalità provvisoria. Al riavvio del PC, subito dopo le “scritte” del BIOS e subito prima del messaggio “caricamento di Windows” si deve premere il tasto F8.
  2. Utilizzare il comando START – ESEGUI e digitare REGEDIT, per avviare il registro di configurazione.
  3. Selezionare la chiave HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION – RUN.
  4. Nella parte destra della finestra cercare ed eliminare le voci:
    ”Wink*” = ”%System%\Wink*.exe”
    ”WQK” = “%System%\Wqk.exe”
    Dove l’asterisco significa qualsiasi cosa, per esempi Winkfu.exe.
  5. Selezionare la chiave HKEY_LOCAL_MACHINE – SYSTEM - CURRENTCONTROL SET – SERVICES.
  6. Nella parte destra della finestra cercare la voce Wink* e, se presente, eliminarla.
  7. Chiudere il registro di configurazione.
  8. Aprire il programma Esplora risorse (Gestione risorse o un browser per file e cartelle).
  9. Visualizzare i file nascosti, utilizzando il comando STRUMENTI – OPZIONI CARTELLA (VISUALIZZA – OPZIONI CARTELLA nei sistemi operativi più datati).
  10. Cercare, nella cartella \WINDOWS\SYSTEM i file Wink*.exe e wqk.exe.
  11. Selezionare questi file e fare un clic con il tasto destro per aprire la finestra proprietà. Disabilitare tutti gli attributi selezionati e chiudere la finestra proprietà.
  12. Cancellare i file trovati.
  13. Riavviare il sistema ed effettuare la scansione dei dischi con un antivirus aggiornato.

     Manuale VIRUS
05.01     APPROFONDIMENTI VIRUS PER VIRUS     
WORM_KLEZ.H    
 
inizio testo aumenta dimensioni testo diminuisci dimensioni testo informazioni indice manuale VIRUS indice capitolo 05
 
 
Pubblicità  
 
Applicazioni iPhone


Il Gioco dell'Oca


Scale e Serpenti


FruitLand NoLimits


MathLand NoLimits


100!

Condizioni d'uso | Informativa Privacy e Cookie Policy | Crediti
Copyright©2005 tutti i contenuti sono proprietà esclusiva di ManualiPc.it

 
Manualipc - Via Don Bosco, 8/A - San Michele al Tagliamento - 30028 Venezia, Italy - P.I. 03687860266