Вопрос
Как узнать адрес куда направляются письма с паролями в теле вируса I-Worm.Klez.E.?
Ответ
Сходи на сайт www.avp.ru , там есть раздел «О вирусах» Найди описание Клеза — там все написано.
Вот описание I-Worm.Klez. от Лаборатория Касперского:
I-Worm.Klez
Для выбора имени (name.ext) вложения червь использует оригинальный метод. Он сканирует все доступные диски, ищет на них файлы с расширением имени:
.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg
и берет имя найденного файла (name.ext) как «базу» имени вложения, и затем добавляет второе расширение «.exe». Например: «Ylhq.htm.exe», «If.xls.exe» и т.п.
В зараженных письмах червь самостоятельно подставляет поле «From:». В зависимости от случайного счетчика червь либо подставляет туда реальный адрес отправителя, либо случайным образом генерирует фиктивный адрес, либо использует какой-либо реальный адрес, найденный на компьютере. В результате зараженное письмо отсылается якобы с адреса, который на самом деле никакого отношения к реально зараженному компьютеру не имеет.
Интересной особенностью червя является тот факт, что он при рассылке писем записывает в свой EXE-файл список найденных адресов электронной почты.
Все строки в теле вируса (тексты сообщений и адреса) хранятся в зашифрованном виде.
Распространение: локальные и сетевые диски
Червь перебирает все локальные диски, сетевые диски с правом доступа и копирует туда себя под случайным именем name.ext.exe (имя файла генерируется так же, как и имя вложения в зараженных письмах, см. выше). После копирования файла на сетевой ресурс червь регистрирует свои копии на зараженных компьютерах как системные приложения-сервисы.
Проявления
По 13-м числам четных месяцев червь ищет на всех дисках зараженного компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.
Klez.e
Запуск вируса
Червь устанавливает себя в системную папку Windows со случайным именем, которое начитается на «Wink», например, «Winkad.exe».
Заражение
Червь ищет ссылки на EXE-файлы в следующем ключе реестра:
Software\ Microsoft\ Windows\ CurrentVersion\ App Paths
Затем, червь пытается заразить найденные приложения. При заражении EXE файла, червь создает файл с оригинальным именем файла и случайным расширением, а также атрибутами скрытый+системный+только чтение. Этот файл используется червем для запуска оригинального (зараженного) файла. При запуске зараженного файла червь записывает оригинальное приложение во временный файл с тем же именем + «MP8» и запускает его.
Червь заражает RAR архивы, записывая в них свои копии со случайным именем.
Червь использует брешь в защите IFrame, чтобы запускаться автоматически при просмотре зараженных сообщений.
=Xaos=
Copyright 
2000-2004 Сообщество Чайников
Контактная информация