È un tradizionale virus di posta elettronica, ma può risultare estremamente pericoloso perché sfrutta una vulnerabilità in Outlook e Outlook Express che gli consente di entrare in azione anche solo visualizzando il testo del messaggio
Chiamato tecnicamente W32.Klez, è diffuso in tutto il mondo in diverse varianti, identificate dai produttori con una lettera dopo il nome principale (ad esempio, W32.Klez.E). Inoltre, si diffonde sia attraverso messaggi di email inviati automaticamente dall’account della macchina ospite ad altri utenti, ma anche in drive di rete locale.
Informazioni tecniche e un patch di correzione del problema di sicurezza sfruttato da questo virus per entrare in azione senza eseguire né aprire allegati del messaggio di email, possono essere trovati nel bollettino tecnico di Microsoft, per la precisione all’indirizzo
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Scoperto il 17 gennaio 2002, il virus di tipo Worm arriva come messaggio di posta elettronica e, quando entra in azione, si copia in una cartella di Windows (per la precisione, in una sottocartella di Windows\System\Wink più caratteri casuali per formare il nome). Modifica poi alcune chiavi del Registry di Windows per avviarsi in modo automatico quando si riavvia o si accende il computer.
Il Worm tenta quindi di disabilitare alcuni scanner antivirus e persino alcuni Worm eventualmente presenti, come il Nimda o CodeRed, fermandone eventuali processi attivi.
Si copia quindi in drive locali, mappati e di rete come un file di nome casuale con una doppia estensione (pippo.txt.exe) o un archivio compresso con suffisso Rar sempre dotato di doppia estensione (pippo.txt.rar).
Klez prosegue il suo lavoro ricercando indirizzi di posta elettronica nella Rubrica di Windows, nel database di Icq e in alcuni file locali (come ad esempio quelli di testo e Html). Raccolti questi indirizzi dal computer ospite, invia con un motore Smtp interno messaggi di posta elettronica contenenti copie di se stesso.
I messaggi inviati da Klez hanno soggetto, corpo del messaggio e nome del file allegato casuali. Se il messaggio viene aperto in una versione non aggiornata o corretta nel problema di sicurezza prima citato, il programma allegato contenente il virus viene automaticamente eseguito.
Alcune delle varianti di Klez, (sicuramente quelle siglate A, D e E), possono installare il virus denominato W32.Elkern.3587, simile a W32.Elkem.3326. In ogni caso, il danneggiamento apportato al nostro sistema da Klez è l’azzeramento dei contenuti di file (nel senso che i file vengono riempiti di byte a zero, dunque ne vanno persi i contenuti originali); tale distruzione avviene, di regola, il sesto giorno di ogni mese. Se viene installato Elkern, il virus provoca un crash di Windows Nt e 2000, mentre funziona regolarmente in sistemi tipo Windows 9x/Me. Ma anche in questi ambienti, se si è mappato un drive di rete protetto in scrittura, Windows si blocca dopo qualche tempo che il virus è entrato in azione. Elkern distrugge i file, anche nelle unità di rete mappate, il 13 marzo e settembre.
Se si dispone di un Outlook (standard o Express) corretto del problema di sicurezza, eseguendo l’allegato “manualmente” il virus potrebbe entrare comunque in azione. Perciò vale sempre la regola di non aprire mai allegati sospetti, anche se provenienti da persone conosciute (soprattutto se il messaggio è in lingua straniera!).
Occorre sempre un buon antivirus aggiornatissimo per intercettare questo virus già all’arrivo nella casella di posta elettronica. I dati per il riconoscimento di questo virus sono stati inseriti solo molto recentemente dai maggiori produttori di antivirus (intorno al 20 gennaio 2002).
