AV-Online

Наши новости
Вирусный мир
Отчеты
Вирусы
Страницы
Партнерам
Контакты

Dr. Web

Награды
Тесты
Для почты
Для Windows
Для Unix
Для Novell Netware
Загрузить

Купить

Для физических лиц
Для юридических лиц
Лицензия и поставка

Библиотека

Народное творчество
Глоссарий
Полезное

Win32.HLLM.KLEZ.4

 Win32.HLLM.KLEZ.4 5 марта 2010 
подробности от «Диалог-Науки»
Еще одна разновидность опасного сетевого червя Win32.HLLM.Klez. Распространяется путем рассылки своих копий по электронной почте. Кроме того, этот червь может распространяться по локальной сети, заражая компьютеры, диски которых являются разделяемыми сетевыми ресурсами, доступными для записи. Попадая в систему, червь рассылает себя по адресам, найденным в адресной книге Windows, в базе данных ICQ и в локальных файлах. При формировании письма червь использует найденные им адреса электронной почты не только в поле получателя («To:»), но и в поле отправителя («From:»). Таким образом, будущий получатель такого зараженного письма может быть легко введен в заблуждение относительно источника, из которого на самом деле был получен вирус.

Зараженные письма, рассылаемые данным червем, используют одну из сравнительно давно известных ошибок в системе безопасности Internet Explorer, которая позволяет вложенному в письмо программному файлу (с вирусом) автоматически запуститься при простом просмотре почты в программах Outlook и Outlook Express. Подробная информация об этой уязвимости и способах ее устранения доступна по адресу http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp.

При рассылке зараженных писем червь также в каждое письмо один из пользовательских файлов данных, произвольно выбранный из числа имеющихся на пораженном компьютере. Таким образом, червем может быть вызвана утечка конфиденциальной информации.

Будучи запущен, Win32.HLLM.Klez.4 копирует себя в системный каталог Windows в виде exe-файла со случайным именем, начинающимся на wink. Далее для этого вновь созданного экземпляра вируса создается одноименный ключ в реестре - в ветке HKLM\Software\Microsoft\Windows\CurrentVersion\Run, что обеспечивает автозапуск вируса при старте системы.

Кроме того, червь создает свои копии на локальных и сетевых дисках, заражает архивы RAR, записывая в них свои копии со случайными именами, а также заражает зарегистрированные в системе приложения по технологии вирусов-спутников: червь сохраняет копию оригинального программного файла приложения (предварительно зашифровав ее), а затем перезаписывает оригинальный файл собственным кодом.

Кроме того, червь Win32.HLLM.Klez.4 является носителем (так называемым «дроппером») еще одного вируса - Win32.Klez.4926, известного и под именем Win32.Elkern.4926 . Win32.Klez.4926 является самостоятельным Windows-вирусом, заражающим файлы с расширениями EXE и SCR на локальных и сетевых дисках. Этот вирус видимых проявлений не имеет.

Вирусы группы Klez успешно обнаруживаются и обезвреживаются всеми версиями антивирусов семейства Dr. Web. Загрузить ознакомительные версии антивирусов можно на нашем сайте, приобрести любые лицензии на полнофункциональные версии антивируса - в нашем онлайн-магазине.


AntiVirus-Online: надежный онлайн-антивирус для вас и вашего сайта

© «AV-Online» 1996 — 2011