Si tratta di un virus mass-mailing worm, residente in memoria,
variante del WORM_KLEZ.A, che utilizza il protocollo SMTP per propagarsi
attraverso la posta elettronica. Altri nomi con cui può essere
chiamato, ALIAS, sono: W32/Klez-G, I-Worm.Klez.h, I-Worm.W32/Klez.gen@MM,
W32.Klez.H@mm.
Quando viene eseguito, il programma crea una enty nel registro di configurazione
per partire ad ogni avvio, quindi infetta i file con estensione .EXE,
cioè i programmi utilizzati dall’utente. Crea nuovi file con lo
stesso nome, copiando il codice virale all’interno dei file stessi. Il
virus comprime e codifica i file eseguibili che lo costituiscono, cambiando
il nome dei file con quelli dei programmi originali e si assicura che
la dimensione dei file infetti sia identica a quella dei file originali.
Inoltre, configura tali file con gli attributi sola lettura, sistema,
nascosto e archivio (tutti gli attributi della FAT).
Quando è entrato in una macchina, chiude l’eventuale antivirus
presente e impedisce l’esecuzione dell’antivirus stesso.
PROPAGAZIONE
Per propagarsi il visus crea messaggi di posta elettronica contenenti
come allegato un file eseguibile, infetto. L’utente riceve una e-mail
con un oggetto scelto casualmente da una lista. Il programma cerca gli
indirizzi a cui spedire mail infette tra i dati dell’utente, utilizzando
le agende presenti nei programmi di posta. I messaggi vengono spediti
con il mittente modificato, in modo che non si possa risalire al mittente
originale. Per esempio, se l’utente Alice ha il PC contagiato dal virus
e ha nell’agenda di posta elettronica gli indirizzi di Bob e Carlo, viene
spedita una mail a Carlo, con mittente Bob. Alice non si accorge della
spedizione del messaggio e nemmeno Bob. Carlo riceve un messaggio da Bob
e, se si accorge che l’allegato è infetto, cercherà di avvisare
Bob dell’infezione.
L’oggetto delle mail spedite può contenere una delle seguenti stringhe:
how are you
let's be friends
darling
so cool a flash,enjoy it
Your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures
Il programma allegato alla mail ha nomi sempre diversi, con una delle
seguenti estensioni: EXE, SCR, PIF, BAT, TXT, HTM, HTML, WAB, DOC, RTF,
XLS, JPG, CPP, PAS, MPG, MPEG, BAK, MP3 e PDF.
Una volta eseguito, il programma si autodecodifica e crea il file Wink*.exe
nella directory di sistema, di solito C:\Windows\system. In seguito
crea il file wqk.exe e modifica il registro di configurazione.
Nelle esecuzioni successive, il virus cerca i file eseguibili per infettarli
e sostituirli.
Se questo worm infetta un PC appartenente ad una rete informatica, la
propagazione avviene cercando tutte le cartelle condivise nella rete,
infettando i file eseguibili e creando file con le seguenti estensioni:
EXE, SCR, PIF, BAT, BAK, RAR, PDF in tutte le condivisioni.
ISTRUZIONI PER RIMUOVERE IL VIRUS
Si deve riavviare il computer in modalità provvisoria. Al
riavvio del PC, subito dopo le “scritte” del BIOS e subito prima del
messaggio “caricamento di Windows” si deve premere il tasto F8.
Utilizzare il comando START – ESEGUI e digitare REGEDIT, per avviare
il registro di configurazione.
Selezionare la chiave HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT
– WINDOWS – CURRENTVERSION – RUN.
Nella parte destra della finestra cercare ed eliminare le voci:
”Wink*” = ”%System%\Wink*.exe”
”WQK” = “%System%\Wqk.exe”
Dove l’asterisco significa qualsiasi cosa, per esempi Winkfu.exe.
Selezionare la chiave HKEY_LOCAL_MACHINE – SYSTEM - CURRENTCONTROL
SET – SERVICES.
Nella parte destra della finestra cercare la voce Wink* e, se presente,
eliminarla.
Chiudere il registro di configurazione.
Aprire il programma Esplora risorse (Gestione risorse o un browser
per file e cartelle).
Visualizzare i file nascosti, utilizzando il comando STRUMENTI –
OPZIONI CARTELLA (VISUALIZZA – OPZIONI CARTELLA nei sistemi operativi
più datati).
Cercare, nella cartella \WINDOWS\SYSTEM i file Wink*.exe e wqk.exe.
Selezionare questi file e fare un clic con il tasto destro per aprire
la finestra proprietà. Disabilitare tutti gli attributi selezionati
e chiudere la finestra proprietà.
Cancellare i file trovati.
Riavviare il sistema ed effettuare la scansione dei dischi con un
antivirus aggiornato.