Борьба с Worm Klez-e

Вчера меня посетило... Нет, не так. Мать вашу, чтоб... И это не годится. Начнем сначала: вчера я чуть не убил компьютер. Не знаю как вы, а лично я никогда не встречался с ситуацией, когда вирус активируется при открытии письма, т.е. без запуска всяких "жизненно необходимых" файлов. Конечно, регулярно приходят замечательные письма с надписью "Открой меня!!!!!!" и другими не менее завораживающими мотивировками, подвигающими к совершению данного акта. Вообще, авторы тем вирусных писем либо прекрасные психологи, либо простые и незатейливые гении. Однажды, например, меня посетило нечто с надписью "Жириновский трахает козу!". Или такое: "У Бритни Спирс ампутировали правую грудь. Фото прямо из операционной". Недавно вообще палец на кнопке мыши остановился, почти уже совершив неминуемый клик: "Басков и Волочкова на нудистском пляже". Вы бы не поинтересовались? Да не смешите мои тапочки - как миленькие бы кликнули. Вот на это и рассчитано.

Но это же хотя бы кликнуть надо. А тут запускается само - при просмотре, причем червь гуляет явно по адресным книгам, потому как пришло "это" ко мне от достопочтенного Авакса. В общем, результат был более чем плачевным: компьютер подвесило с извещением о какой-то непонятной ошибке в реестре. Reboot ничего не дал, более того, заподозрив неладное, я решил прогнать диск С:/ любимым и недавно обновленным AVP. И что? А ничего - Касперского на винте уже не наблюдалось. То есть в Program Files какие-то ошметки и огрызки в соответсвующей папке обнаружились, но ни сканера, ни монитора не было. Съели!!! Я уже понял, что бедствие полное.

Слава богу, выйти в И-нет еще можно было. Я быстренько побежал на сайт доброго Каспера и обнаружил там интересную информацию о словленном мною супостате.

Действительно, стандартным способом (через AVP сканер) его не поймать, но доброе привидение Каспер подготовил для такого случая спец. утилиту (всего 25 кб), которая устраняет мерзавчика (зовут его, кстати, I-Worm.Klez-e). Вот что писали на сайте:

"Напомним, что первая версия Интернет-червя Klez появилась в октябре прошлого года. На сегодняшний день "Лаборатории Касперского" известно пять его модификаций. Наибольшую опасность представляет последняя версия червя - Klez.e.
Данный червь рассылает себя по электронной почте, используя для рассылки сообщений протокол SMTP. Тема письма выбирается случайным образом, например:

Hi,   Hello,   Re:   Fw: how are you   let's be friends   darling   don't drink too much   your password   honey   some questions   please try again   welcome to my hometown   the Garden of Eden   introduction on ADSL   meeting notice   questionnaire   congratulations   sos!   japanese girl VS playboy   look,my beautiful girl friend   eager to see you   spice girls' vocal concert   Japanese lass' sexy pictures

Тело заражённых сообщений: пустое или содержит случайный текст.

Запуск вредоносной программы происходит автоматически при просмотре письма. Для этого червь использует брешь в системе безопасности Internet Explorer, которая была обнаружена в марте 2001 г.


После запуска Klez.e устанавливает себя в системную папку Windows со случайным именем, которое начитается на "Wink", например, "Winkad.exe".

Червь ищет ссылки на EXE-файлы в следующем ключе реестра: SoftwareMicrosoftWindowsCurrentVersionApp Paths, пытаясь заразить найденные приложения.

Klez-e также заражает RAR архивы, записывая в них свои копии со случайным именем, а по 6-м числам нечётных месяцев ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.

Кроме того, червь пытается прекратить работу известных антивирусных программ, принудительно закрывая их исполняемые файлы среди активных процессов компьютера.

Процедуры защиты от "Klez.e" были добавлены в базу данных Антивируса Касперского более двух недель назад".

Брррр-р-р-р... Ужасть! Слава богу, меня вышеописанная участь минула. Но тем не менее я в течение 2-х часов имел счастье наслаждаться игрой в Worms World Party (это когда червяков убиваешь всеми доступными способами). Хорошо, что до Армагеддона не дошло...

Настоятельно рекомендую сходить на AVP, скачать утилитку и протестировать свой аппарат - лишним не будет.