Támad a Klez vírus

Péntek óta számolatlan mennyiségben kap szerkesztőségünk is Klez vírussal fertőzött emaileket. Két gépünkre be is sikerült jutnia, és vírusos üzeneteket terített szét a hálózaton. Saját bőrünkön is tapasztaltuk: a fokozott elővigyázatosság indokolt.

   Az elmúlt jó félévben döbbenetesen elszaporodtak a vírusos üzenetek, ezzel sok újat nem mondunk, aki rendszeresen küld és fogad emaileket, tapasztalja. Pénteken minden eddigit meghaladó mennyiségű vírusos üzenet érkezett, köztük a Klez vírus új variánsa, melyet hétfőn fedeztek fel, egyik munkatársunk szerdán regisztrálta az elsőt. Két gépünkre a vírus be is tudott jutni, mint utólag kiderült, azokon nem frissítettük az eltelt 48 órában a vírusirtó programot. Ez a mi hibánk, szánjuk, bánjuk, és elnézést kérünk mindazoktól, akik számára a gépeinkre beférkőzött vírus - a felfedezésig eltelt néhány perc alatt - vírusos üzeneteket továbbított. A vírusirtókat forgalmazó cégek csak szerdától biztosították a Klez ellenszerét.
   A meglehetősen makacs, "ügyes" vírustól csak hosszas munka árán sikerült megszabadulnunk, mindenkinek azt ajánljuk tehát, hogy inkább a megelőzésre fordítsa energiáit. A két "felkészületlen" gépen a Klez kiütötte a vírusirtót, és azt követően nem is engedte meg a vírusirtó újratelepítését, frissítését, sem a sikeres irtást. Ugyanakkor nagy sebességgel felpakolta magát a legkülönbözőbb könyvtárakba.
   A Klez vírus legújabb variánsa - írja az Index - akár bizalmas információkat is továbbíthat a megtámadott felhasználó számítógépéről - hívta fel a figyelmet egy vírusirtó szoftvereket gyártó cég, az orosz Kaspersky Labs szakértője. A vírus átvizsgálja a fertőzött gép merevlemezeit, és bizonyos körülmények között minden egyes elküldött levélhez egy fájlt csatol. Ezek lehetnek szöveges-, excel-, html- és Adobe Acrobat-fájlok, de képek, videók, vagy zenék is. A jelenség nem új: ugyanezt teszi a SirCam nevű féreg is, amely tavaly bukkant fel, és még mindig terjed az interneteten.
   Az új változatot a brit MessageLabs, egy emailekkel foglalkozó biztonsági cég múlt hétfőn fedezte fel. A legtöbb antivíruscég, mint a McAfee, a Symantec vagy a Sophos szerda óta biztosítja a vírus eltávolítására szolgáló eszközöket. A Norton-termékeket gyártó Symantec ötfokozatú veszélyességi skáláján a hármas szintre helyezte az új Klez-változatot, melyet W32.Klez.H-nak nevezett el. A korábbi verziókat még a második szintre sorolta. A MessageLabs szerint a féreg terjedése péntek délután tetőzött: ekkora már szinte minden 77-ik levél fertőzött volt. A legtöbb ilyen emailt Nagy-Britanniában találták, ezt követte Hong-Kong és az Egyesült Államok. És, ahogy írtuk, szerkesztőségünket is ekkor lepte el a vírus által fertőzött emailek sokasága. (És azóta is napjában több tucat ilyen elektronikus levél érkezik).
   A vírusnak a fertőzéshez gyakran nincs szüksége arra, hogy a címzett megnyissa a levelet. Ehelyett a Microsoft Outlook Express egy biztonsági rését használja ki, mely lehetővé teszi a beágyazott MIME-állományok (ezek az emailekhez csatolt formázott állományok) automatikus futását. Ez a bug már egy éve ismert, így csak azoknál a felhasználóknál tud a program automatikusan elindulni, akik azóta nem frissítették a levelezőjüket.. (Érdemes felkeresni a Microsoft honlapját a biztonsági javításokért.) A Klez összegyűjti a gépen található email-címeket, és a saját levelezőprogramjával küldi el azokra saját magát. A feladórovatot átírja, így elrejti az email valódi származási helyét, és címsorba véletlenszerűen választ 120 lehetőség közül egyet. A vírusirtó-programokat is megpróbálja kiiktatni regisztrációs bejegyzések és vírusdefiníciók törlésével, illetve a futó alkalmazások leállításával. A Klez.H a Kaspersky Labs szerint korábbi verzióival szemben nem semmisít meg tárolt adatokat.
   Az Index szerint jó eséllyel elkerülhető a vírus támadása, ha a felhasználók törlik a 90-100 Kbyte-nál nagyobb, ismeretlen csatolt állományt tartalmazó leveleket, akár ismert a feladójuk, akár nem. Bár a tájékoztatás szerint a vírus megváltoztatja a feladómezőt, az Index és a DO munkatársai is találkoztak már ismerős címéről érkezett vírussal.

(Forrás: DO - Index)