Roma – Che Klez fosse una brutta bestia per le piattaforme Windows lo si è capito il giorno in cui è emerso. Ma ora, dopo le già numerose versioni del worm che si sono affacciate, ne è arrivata un’altra che gli esperti collocano ad un livello di attenzione medio: Klez.H.
Ieri Symantec ha infatti posto a livello 3 (il massimo è 5) la soglia di attenzione per questa nuova variante del worm, capace come la precedente di riprodursi via email o attraverso le connessioni di rete.
In particolare Klez.H scansione la rubrica di Outlook, il database dei contatti di ICQ nonché i file in locale e utilizza un proprio motore SMTP per auto-inviarsi a tutti questi indirizzi come allegato di una email infetta. Anche in questo caso, come già rilevato nelle altre versioni di Klez, il nome dell’allegato, così come le caratteristiche delle email, sono casuali.
Inoltre, come sottolineato ieri da SalvaPC News a proposito di Klez.E, anche questa versione di Klez sceglie come indirizzo mittente uno qualsiasi degli indirizzi individuati sul computer dell’utente infetto. Questo significa che quando si riceve l’email infetta questa può essere stata inviata da un mittente assolutamente estraneo a quello riportato nell’email.
Questa caratteristica rende Klez.H un worm da seguire con attenzione, anche perché impedisce a chi lo riceve di capire facilmente il mittente reale, quello sul cui computer il worm si è installato.
I maggiori produttori antivirus in queste ore stanno configurando le nuove definizioni per impedire a Klez.H di fare danni ed è dunque importante che gli utenti aggiornino al più presto i propri sistemi di difesa.
Ma vediamo un’analisi più tecnica della variante Klez.H.
Klez.H è un “mass mailing worm”, come vengono ormai definiti i codici capaci di riprodursi rapidamente su ampia scala, che se viene eseguito dall’utente per prima cosa si infila nella directory System di Windows con un nome composto dalle lettere “wink” più altre lettere e con l’estensione eseguibile.exe.
Subito dopo inserisce in questa chiave di registro:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
il valore: Wink(+ i caratteri casuali del nome) e SystemWink(caratteri casuali).exe
In alternativa crea la chiave:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWink(caratteri casuali)
e inserisce un valore in quella sottochiave in modo da assicurarsi che ad ogni riavvio di Windows il worm verrà riattivato.
Come già accaduto con altri codicilli malevoli, anche Klez.H tenta di disabilitare le funzionalità antivirus dei prodotti di difesa eventualmente installati sul computer Windows aggredito.
Fatto questo, il worm provvede ad auto-copiarsi su tutti i supporti che individua, in locale o in rete, infilando in quella sede un file riconoscibile da una doppia estensione casuale, come.txt.exe o.txt.rar.
Una volta dentro, come detto, il worm scansiona i file più comuni, da quelli.html a quelli.exe passando per.doc,.asp e persino per.mp3 a caccia di indirizzi email a cui auto-inviarsi per tentare di infettare il più alto numero possibile di computer.
Il subject dell’email è casuale ma va detto che è in tutti i casi una frase o una parola in inglese.
Non contento, il worm infetta gli eseguibili creando una copia nascosta del file originale prima di riscriversi direttamente sopra di esso… La copia nascosta viene criptata ma non è virale. Symantec spiega anche che il nome del file nascosto è lo stesso del file originale ma ha una estensione casuale.
Infine, nella cartellina dedicata di default ai programmi (spesso c:programmi), il worm infila anche il virus W32.Elkern.
Una pagina del Symantec Security Response spiega come rimuovere manualmente il codice virale qualora si fosse infettati.