2 CoValent:
Сенкс, млин побёг на касперски

Половину воскресенья я убил на поднимание компьютера друзей, попавшего под этот ... (очень много прилагательных) ... "Klez". Возился долго, но вычистил "через не ту дырку". Может, кому-то понадобится этот способ для более быстрого излечения?

Симптому по приходу:

а. Отсутствуют исполняемые файлы от Kaspersky Personal Pro 4, хотя есть сам каталог.
б. При выходе в Сеть начинается бешеный аплодинг "неизвестно чего", доходящий до 5-6 мегабайт за раз.
в. Заблокированы все порты ФТП и любой закачки.

Дополнительный симптом:

i. При попытке переустановки Касперского - срыв на перезагрузке.
ii. При удачной установке - "самостоятельное" стирание исполняемых файлов антивируса в момент запуска.

Процедура лечения:

1. В "msconfig.exe" находим "лишнее", то есть тот исполняемый модуль, каковым обожает теперь представлять себя вирус.
2. Не трогаем его здесь, перезагружаемся в "safe-mode" и идем в "regedit", где ищем и удаляем этот модуль.
3. Перезагружаемся снова, вышибаем из трея аську и все-все-все (с) А.А.Милн.
4. Устанавливаем Norton Antivirus 2002, коннектимся, качаем обновление, перезагружаемся.
5. Развлекаемся, глядя как он давит "на лету" десятки расползшихся по исполняемым файлам копии одного и того же вируса-червя...

1) Ставим заплатку соответствующую на IE
2) Пользуемся TheBat
3) Если по религиозным причинам пункт 2 не подходит - отключаем область просмотра в OE и ВНИМАТЕЛЬНО глядим на всю приходящую почту (но по мне так лучше пункт 2).

BTW на сайте Касперского лежит бесплатная програмка для лечения Klez любой модификации, если уж заразился...

BTW2 У Касперского есть возможность лечиться дискеткой - очень полезная фича! Файловая система на дискете - НЕ FAT/NTFS!

1. Когда у тебя компьютер УЖЕ заражен - поздно ставить заплатки. Лечить надо, а процедуру я и описал.

2. Когда у тебя вирус блокирует любые закачки - опять же поздно метаться по Сети, за отедбными утилитами или дискетами.

Чтобы избежать заражения, вполне достаточно следить за выходом security updates для IE. Заплатка, устраняющая дыру в защите при выполнении директивы iframe, которой пользуется Klez, существует еще с незапамятных времен.

CoValent, спасибо за совет.
Этот гребаный Klez сегодня ко мне уже 4 раза пришел по почте. Все с одного адреса. Накатал письмо с логами админу, но, думаю, не поможет.
Поэтому, через день протрясаю сеть на предмет мер контрацепции.
И всем сотрудникам настрого запретил запускать ЛЮБЫЕ вложения до проверки их антивирусами.

У меня за неделю 5 раз приходил "клез", заплатка стоит, АВП блокирует, я удаляю файл аутглюка, нортон и прога с сайта касперского ничего не видят. Вроде всё хорошо, но пару раз получал письма от почтовых серверов типа "ваше письмо было с вирусом" или данного аккуанта нет (хотя я ничего не посылал).
Что еще интересно - все вирусы посланы от пользователей моего провайдера, но разными людьми, правда все люди - из локалки (я подключен по выделенке).

quote:

Originally posted by Freddie:
Чтобы избежать заражения, вполне достаточно следить за выходом security updates для IE. Заплатка, устраняющая дыру в защите при выполнении директивы iframe, которой пользуется Klez, существует еще с незапамятных времен.

Это да, но тут-то семья настолько далекая от компьютеров, что не знали не то, что существует такое понятие, как заплатка - но даже что делать с вирусом! :)

quote:

Originally posted by Gering:
Вроде всё хорошо, но пару раз получал письма от почтовых серверов типа "ваше письмо было с вирусом" или данного аккуанта нет (хотя я ничего не посылал).

Юр, в "лаборатория Касперского" мне рассказывали, что "Klez" первым делом перерывает на твоем компьютере все имеющиеся почтовые адреса, потом создает свою базу данных и саморассылается по всем доступным адресам, подставляя в исходящие письма первый попавшийся адрес отправителя из этой базы...

Откуда он эти адреса берет? У меня в адресной книге 2 человека, а он посылает тем, с кем никогда не переписывался...
Единственное что приходит на ум при анализе адресов - вирус копается в кэше ИЕ и там со страниц форумов вытаскивает мыло отправителей мессаг. Так что ли?

BTW механизм распространения этого вируса уже обсуждали, и я тогда высказывал предположения насчет адресной книги и поля <From>, которые, как видим, оказались совершенно верными.

quote:

Originally posted by Gering:
Откуда он эти адреса берет? У меня в адресной книге 2 человека, а он посылает тем, с кем никогда не переписывался...
Единственное что приходит на ум при анализе адресов - вирус копается в кэше ИЕ и там со страниц форумов вытаскивает мыло отправителей мессаг. Так что ли?

В "Лаборатории" говорили, что "копается на твоем компьютере"... Я тогда подумал о папках "Входящие" и "Исходящие", но, видимо, он и в кеш может залезть.

Иначе как бы ко мне стали приходить письма из Бразилии и Польши? (а я с этими странами переписываюсь ну ОООЧЕНЬ редко...за 6 последних лет - десятка два писем со своего компьютера, не больше.)

Значится так! :)
Валентин, я писал без наезда, чесслово, просто времени было маловато, поэтому так лаконично и по пунктам. Без обид, ок?
Теперь про Клез - ситуевина такая. Как и сказал Валентин, он (Клез), заразив комп, первым делом сканирует адресную книгу и (ВНИМАНИЕ) записывает в свое тело найденные адреса! После чего рассылает себя по почте. Заразив следующий комп, он добавляет адреса с этого компа и так далее. Адрес в поле From он берет из этой своей базы. Поэтому забудьте про это поле сразу. Если кто пожаловался, что вы прислали ему вирус - он не прав в данном случае скорее всего, ибо наличие вашего адреса в поле From говорит только о том, что на одном из ранее зараженных этой копией вируса компьютеров был ваш адрес в адресной книге.
Как сказал Евгений Касперский в ФИДО эхе RU.AVP - реальный адрес зараженного (того, кто рассылает) может находиться в поле Reply-To. И кроме того, в поле заголовка Recieved: (самому первому над полем From) можно увидеть IP-адрес, с которого этот вирус пришел.
Еще раз - адрес, находящийся в поле From на 98% ни при чем в получении вами этого письма с Klez-ом.
BTW Утилита CLRAV с сайта Касперского лечит уже зараженные компы.
PS Вот, на всякий случай добавлю еще. Этот последний Klez (Klez.h) имеет одну неприятную особенность - он берет с зараженной машины РЕАЛЬНЫЙ файл при рассылке. Как следствие - конфиденциальные данные могут легко уйти, допустим, к вашим конкурентам. Я уже получил несколько интересных файлов (сам вирус вырезается антивирусом, а файл благополучно доходит до меня). :)

[ 23-04-2002, 08:17: Сообщение отредактировано: Stardust ]

Дык и я о том же писал...

Суть-то в том, что достать с зараженного компьютера хоть что-то с адресов "Лаборатории" невозможно. Хорошо, когда есть возможность слазить в Сеть с "соседней" машины - а если нет, то при наличии диска с NAV и некоторых предварительных процедур, затягивающих активизацию вируса, машину можно вылечить и описанным мною способом.

Мое первое сообщение ничего более не предполагало.

Хотя необходимость иметь дискету с антивирусом ясна, на практике это удается сделать не всегда.