_ο στόχος μας
.. να προφυλάξουμε το PC σας από τα e-mail που μεταφέρουν επικίνδυνους ιούς.

'Ονομα ιού: Klez 
Ψευδώνυμα: ElKern, Klaz, Kletz, I-Worm.Klez, W95/Klez@mm 
Tο Klez είναι ένα mail-worm το οποίο βασίζεται σε έναν πολυμορφικό ιό , τον Elkern. 
Το worm Klez παίρνει πολλές μορφές όταν αποστέλλεται μέσω e-mail:

Θέματα: 
Hi 
Hello 
How are you? 
Can you help me? 
We want peace 
Where will you go? 
Congratulations!!! 
Don't cry 
Look at the pretty 
Some advice on your shortcoming 
Free XXX Pictures 
A free hot porn site 
Why don't you reply to me? 
How about have dinner with me together? 
Never kiss a stranger

Το e-mail δεν περιέχει κανένα μήνυμα. Ωστόσο περιέχει ένα μήνυμα το οποίο δεν φαίνεται από τους περισσότερους e-mail clients.Το μήνυμα είναι το εξής: 
'I'm sorry to do so , but it's helpless to say sorry 
I want a good job, I must support my parents. 
Now toy have seen my technical capibilities. 
How much my year-salary now?No more than $5,500. 
What do you think of this fact? 
Don't call my names, I have no hostility. 
Can you help me?' 

Μερικές φορές το worm αυτοεκτελείται αφού εκμεταλλεύεται ένα bug του ΙΕ. Για αυτό το bug θα βρείτε πληροφορίες στο http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
To worm ακόμα αντιγράφει τον εαυτό του σε πόρους του τοπικού δικτύου. 

Πρωτοεμφανίστηκε στις 26 Οκτωβρίου 2001 στην Κίνα. 

'Αλλες μορφές του ιού: 

klez.d 

Αυτή η έκδοση εκμεταλλεύεται το address book του θύματος και τις επαφές του ICQ. Μετονομάζεται σε WinSvc.exe και αντιγράφεται στον directory των windows.Καταστρέφει τους παρακάτω ιούς Nimda', 'CodeRed', 'Code Red', 'CodeBlue', 'Code Blue' και περιέχει ένα μήνυμα που λέει: 'I will try my best to kill some virus' . 
 

klez.e 

Αυτή η έκδοση είναι η πιο επικίνδυνη.Κάνει τα ακόλουθα: 
1. Αντιγράφει τον εαυτό του στο  directory των windows σαν WINKxxxx 
2.Μολύνει όλα τα exe αρχεία εκτός από αυτά που έχουν τα ονόματα:EXPLORER CMMGR MSIMN ICWCONN WINZIP . Ουσιαστικά όταν μολύνει ένα αρχείο κρατά ένα αντίγραφό του κάι ύστερα το μολύνει καταστρέφοντας το. Ωστόσο όταν εκτελείται το μολυσμένο αρχείο βρίσκει το αντίγραφο/backup και εκτελεί αυτό. Έτσι ο χρήστης δεν καταλαβαίνει τίποτα. Τα backup των αρχείων που μολύνει τα αποθηκεύει με κατάληξη .MP8. Αυτός ο τύπος μόλυνσης ονομάζεται companion infection. 
3.To worm διαδίδεται μέσω δικτύου με αρχεία .RAR που έχουν τα ονόματα setup install demo snoopy picacu kitty play rock . 
4.Ψάχνει για processes με τα ονόματα Sircam Nimda CodeRed WQKMM3878 GRIEF3878 Fun Loving Criminal Norton Mcafee Antivir Avconsol F-STOPW F-Secure Sophos virus AVP Monitor AVP Updates InoculateIT PC-cillin Symantec Trend Micro F-PROT NOD32 _AVP32 _AVPCC NOD32 NPSSVC NRESQ32 NSCHED32 NSCHEDNT NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32 NAVRUNR NAVW32 _AVPM ALERTSVC AMON AVP32 AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95 ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98 AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95 CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton Mcafee Antivir TASKMGR 
και τις σταματάει. Έτσι έχει και προστασία από antivirus. 
5.Επίσης ακινητοποιεί μερικά Antiviruses μέσω της registry. 
6.Πειράζει ακόμα τις database των antivirus programs με τα ονόματα: 
ANTI-VIR.DAT CHKLIST.DAT CHKLIST.MS CHKLIST.CPS CHKLIST.TAV IVB.NTZ SMARTCHK.MS SMARTCHK.CPS AVGQT.DAT AGUARD.DAT 
9. Μέσα στον ιό βρήκα τα ακόλουθα text string τα οποία όμως ποτέ δεν φαίνονται: Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*) 
 Copyright,made in Asia,announcement: 
 1.I will try my best to protect the user from some vicious 
   virus,Funlove,Sircam,Nimda,CodeRed and even include W32.Klez 1.X. 
 2.Well paid jobs are wanted 
 3.Poor life should be unblessed 
 4.Don't accuse me.Please accuse the unfair sh*t world 
10. Η καταστροφή που γίνεται από τον ιό γίνεται επιλεκτικά όταν η ημερομηνία είναι περίεργη. 
11. Τα μηνύματα περιέχουν προτάσεις που δημιουργούνται από τυχαίες λέξεις όπως: 
'The attachment is a very dangerous virus that spread trough e-mail.' 'The file is a special dangerous virus that can infect on Win98/Me/2000/XP.' 
Αν έχετε μολυνθεί κατεβάτε το αρχείο ftp://ftp.europe.f-secure.com/anti-virus/tools/kleztool.zip 
Υπάρχουν και άλλες εκδόσεις του ιού όπως η Klez.G , Klez.F,Klez.H 

## 
gr3kop
Sabotage VX team
##################

_ το fora.gr υποστηρίζεται από τη Sabotage VX team, την πρώτη ελληνική ομάδα έρευνας σε θέματα ιών