E Klez ora sforna anche Klez.H

Non contento di confondere le proprie tracce accusando utenti non infetti di essere utenti untori, Klez ora gira anche in un'altra variante. I dettagli

Roma - Che Klez fosse una brutta bestia per le piattaforme Windows lo si è capito il giorno in cui è emerso. Ma ora, dopo le già numerose versioni del worm che si sono affacciate, ne è arrivata un'altra che gli esperti collocano ad un livello di attenzione medio: Klez.H.

Ieri Symantec ha infatti posto a livello 3 (il massimo è 5) la soglia di attenzione per questa nuova variante del worm, capace come la precedente di riprodursi via email o attraverso le connessioni di rete.

In particolare Klez.H scansione la rubrica di Outlook, il database dei contatti di ICQ nonché i file in locale e utilizza un proprio motore SMTP per auto-inviarsi a tutti questi indirizzi come allegato di una email infetta. Anche in questo caso, come già rilevato nelle altre versioni di Klez, il nome dell'allegato, così come le caratteristiche delle email, sono casuali.
Inoltre, come sottolineato ieri da SalvaPC News a proposito di Klez.E, anche questa versione di Klez sceglie come indirizzo mittente uno qualsiasi degli indirizzi individuati sul computer dell'utente infetto. Questo significa che quando si riceve l'email infetta questa può essere stata inviata da un mittente assolutamente estraneo a quello riportato nell'email.

Questa caratteristica rende Klez.H un worm da seguire con attenzione, anche perché impedisce a chi lo riceve di capire facilmente il mittente reale, quello sul cui computer il worm si è installato.

I maggiori produttori antivirus in queste ore stanno configurando le nuove definizioni per impedire a Klez.H di fare danni ed è dunque importante che gli utenti aggiornino al più presto i propri sistemi di difesa.

Ma vediamo un'analisi più tecnica della variante Klez.H.
51 Commenti alla Notizia E Klez ora sforna anche Klez.H
Ordina
  • Cioè... mi spiego meglio:
    Da quanto mi sembra d'aver capito, il Klez.H non reca danno al PC... non cancella file o cartelle (a parte l'antivirus)... li infatta solamente, ma continueranno a funzionare come sempre! Quindi perchè programmare un virus simile? Magari per poterci mettere un TROJAN in qualche nuova versione?
    non+autenticato


  • - Scritto da: Guybrush
    > Cioè... mi spiego meglio:
    > Da quanto mi sembra d'aver capito, il Klez.H
    > non reca danno al PC... non cancella file o
    > cartelle [....]

    Ccoooooosaaaaaaa??
    Sei sicuro?
    Io ero rimasta al paylod che si attiva ogni giorno 6 dei mesi dispari, cambiando le estensioni dei tuoi file-->diventando, quindi, irrecuperabili.
    Controlla meglio quello che hai letto Occhiolino

    > (a parte l'antivirus)... [..]

    L'antivirus viene messo fuori uso, quindi va disisntallato (bene) e reinstallato ex-novo

    [..]
    > Quindi perchè programmare un
    > virus simile? [..]

    Questa domanda ha 2 o 3 risposteSorride)
    non+autenticato
  • Scusate, ma non so se sono infetto o meno e come posso fare smettere questa continua processione di mail infette.
    Il NAV rileva il virus al momento dell'operazione di scarico posta dal server, non riesce a ripararlo e io gli ordino di cancellare il file infetto nell'allegato.
    La scansione del disco rigido non rileva virus e ciò mi induce a pensare di non essere infetto e che se riuscissi a risalire al mittente ignaro, potrei avvertirlo.
    non+autenticato


  • - Scritto da: Carlo
    Non sei infetto, e non puoi farci niente se ricevi quotidianamente 4 o 5 klez
    Siamo arrivati alla versione G

    Non so se puoi risalire al reale mittente dall'IP, non si è ancora capito bene questo :-/
    non+autenticato
  • Leggere i messaggi di posta, prima di aprirli doppiocliccandoci, facendo click col destro e poi scegliendo proprieta` -> messaggio originale.

    Poi, una volta che vi siete sincerati che il testo (che potete leggere anche cosi`) non contiene paroline come <iframe src=...>, o attachments con doppia estensione (.txt.pif, .wav.com...) eccetera... aprite il messaggio come sempre.

    PS. ah, e andate al menu` visualizza -> layout di Outlook e de-crocettate "visualizza riquadro di anteprima".

    Perche` farsi tanti problemi?
    Vi garantisco che se fate cosi`, di mailworms non ne prendete nemmeno uno...
    non+autenticato


  • - Scritto da: alex¸tg

    > PS. ah, e andate al menu` visualizza ->
    > layout di Outlook e de-crocettate
    > "visualizza riquadro di anteprima".

    Puoi anche evitare di andare a riattivare il preview..che costa fare doppio click per leggere una mail??
    non+autenticato
  • ???

    penso che tu mi abbia frainteso:
    intendevo "disattivate il preview",
    "decrocettate", togliete la crocetta.

    Fare doppio click su un email con un worm che si attiva tramite la falla dell'iframe equivale a prendere il worm...
    non+autenticato


  • - Scritto da: alex¸tg
    > ???
    >
    > penso che tu mi abbia frainteso:
    é possibileOcchiolino

    > intendevo "disattivate il preview",
    > "decrocettate", togliete la crocetta.
    >
    > Fare doppio click su un email con un worm
    > che si attiva tramite la falla dell'iframe
    > equivale a prendere il worm...

    Eh, lo so bene..per quanto mi riguarda il preview non so più cosa sia in OE....
    CiaoOcchiolino
    non+autenticato


  • - Scritto da: alex¸tg
    >
    > Perche` farsi tanti problemi?
    > Vi garantisco che se fate cosi`, di
    > mailworms non ne prendete nemmeno uno...

    Se e` per questo basta non usare il pessimo Outlook
    e IE.
    Ma il problema e` un altro, io non ho mai preso nemmeno un virus, ma quotidianamente ricevo vari MB di mail grazie a Klez e ad utenti che evidentemente si beccano ogni virus in circolazione...
    Almeno si riuscisse a risalire al mittente originale per avvertirlo!
    E perche` i server SMTP di libero, tin e Co. non
    filtrano tutti queste maledette mail infettate??
    Converrebbe anche a loro, vedi risparmio di banda
    e di risorse sui loro server!
    non+autenticato


  • - Scritto da: paolo
    > Se e` per questo basta non usare il pessimo
    > Outlook
    > e IE.

    Guarda che io con OE ho riconosciuto i klez che mi sono arrivati da mittenti sconosciuti perché klez agisce in questo modo, senza infettarmi, e senza dare nemmeno il tempo al mio AV di urlare....mentre con altro mailreader non avevo capito che era klez.

    > Ma il problema e` un altro, io non ho mai
    [....]
    > Almeno si riuscisse a risalire al mittente
    > originale per avvertirlo!

    Vedi sopra..al limite con klez puoi risalire al provider...

    > E perche` i server SMTP di libero, tin e Co.
    > non
    > filtrano tutti queste maledette mail
    > infettate??

    Libero ha offerto un servizio di questo tipo a pagamento, perché anche loro hanno un costo da sostenere....
    Ma perché comprasi un AV (e aggiornarlo) non va bene?
    Evitare di fare doppio click su tutto, non va bene?

    non+autenticato
  • Anni fa (1998/99) la Computer Associates distrubuiva un programmino interessantissimo, detto eTCIPe - eTrust Content Inspector Persolal Edition. Si trattava di una utility gratuita che bloccava l'avvio degli EXE, VBS e delle macro Word dall'interno della mail portatrice. Cosi', anche se uno avesse cliccato sull'attachment, il virus non si sarebbe attivato. L'utility era ottima per impedire che virus nuovi prendessero in contropiede l'antivirus non ancora aggiornato. Non so se eTCIPE funzionerebbe con Klez (cmq. penso di sì), ma certo funziona con moltissimi virus, in virtu' della sua strategia operativa.

    Sono riuscito a localizzare eTCIPE su internet in un sito ungherese:

    http://www.origo.hu/szoftverbazis/virusvedelem/dat...

    Per scaricare eTCIPE basta che clicchiate a destra un po' in basso, dove c'e' scritto "letöltés" a pallini bianchi su fundo rosso. Niente paura, l'installazione e' in inglese Sorride

    E comunque, datemi retta, perche' soffrire? Buttate via il M$ Winzozzo
    non+autenticato
  • POCHI GIORNI FA AVEVO AGGIORNATO IL MIO ANTIVIRUS:
    mcafee viruscan deluxe 2000 (originale!!!)... mi rilevava molte e-mail infette e mi diceva anche il nome... W32...

    Ho fatto in tempo ad avvisare tutti che me lo son beccato!!!!

    A QUANTO PARE CI VOGLIONO FAR COMPRARE Viruscan 6.0...

    AAAAAAAAAAAAAAAAAAA ma lo cancellerò...sarà l'ultima cosa che faccio!!!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 14 discussioni)