Platform        : Windows,Outlook 2000 pre-SR1, Outlook Express, Web-Based Email
Boyutu          :  4,926 Bytes
Diger isimleri : W32.Klez.A@mm, W32.Klez.D@mm,W32.Klez.E@mm,W32.Klez.H@mm, W32.Klez.gen@mm ,W32.Poverty.A@mm
 

Açıklama:
 
W32/Klez@MM adlı virüs 18 Nisan 2002 tarihinde yayılmaya başlamıştır. Virüs, değişen konu (subject) başlıkları içeren e-postaların eklentileri ile yayılmakta, bulaştığı bilgisayardan diğer kullanıcılara e-posta göndermektedir.
 

Virüsün Özellikleri:

W32/Klez.h@MM, Microsoft Internet Explorer (ver 5.01 ya da 5.5 SP2 kurulmamış) "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" açığından yaralanarak bulaşabiliyor.

W32/Klez e-posta'nın kimden kısmını değişitirebiliyor. Gönderen adresi virüs tarafından etkilenmiş bir sistemin kullanıcısının adresi olabiliyor. Gelen e-posta bu nedenle başka biri tarafından gönderilmiş gibi gözükebilmektedir. Tüm e-posta başlığı okunduğunda bu anlaşılabilmektedir.
 

İnternet solucanı e-posta mesajının Konu ve İçerik kısımlarını rastgele belirliyor.

Bazı bilinen Konu adlandırmaları:
Document End
Happy Lady Day
From
Eager to see you
Returned mail--"Document End "
HEIGHT
A WinXP patch
Hi,spice girls' vocal concert
Happy nice Lady Day
Have a humour Lady Day
Happy good Lady Day
ALIGN
Have a good Lady Day
Undeliverable mail--"IIS services with this Web administration tool."
A very funny website
1996 Microsoft Corporation
Hello,honey
Initing esdi
Editor of PC Magazine.
Some questions
Telephone number
(virüs bazen boş Konu/İçerikli -postalar da gönderebiliyor)

Eklentileri rastgele isimlendirilmiş .PIF, .SCR, .EXE ya da .BAT dosyalarıdır.

Gerekli izinler olduğu sürece ağ paylaşımları yardımı ile de kendisini diğer biligisayarlar tek ya da çift tıklamayala çalışacak bir ya da iki uzanıtılı dosyalar olarak kopyalıyor.Örnek olarak:

350.bak.scr
bootlog.jpg
ALIGN.pif
User.bat
line.bat
user.xls.exe

Internet solucanı kendisini RAR arşiv dosyaları gibi de kopyalayabiliyor.Örneğin:

HREF.mpeg.rar
HREF.txt.rar
lmbtt.pas.rar

Virüsün bir özelliği de bir çok değişik antivirüs programının sistemdeki çalışmasını durdurabilmesidir.

Belirtileri:

- Rastgele isimlendirilmiş ağ paylaşımları olması
- WINKxxx.EXE dosyasının ("xxx" rastgele karakterler) aşağıda belirtilen Registry dosyalarına anahtar olması:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   ya da
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Korunma:

Virüsten etkilenmemek için, Microsoft Windows işletim sistemleri, Internet Explorer, Outlook ve Outlook Express kritik güncelleştirmelerinin http://windowsupdate.microsoft.com adresi kullanılarak yapılması gerekmektedir.
Virüs, bulaştığı bilgisayardaki antivirüs yazılımını etkisiz hale getirmektedir, bu nedenle antivirüs yazılımlarının bir an önce güncellenmesi önem taşımaktadır.
 

Temizleme Yöntemi:

Symantec Inc. tarafından yapılmış W32/Klez virüsüne özel temizleme aracını (FixKlez.com)
http://securityresponse.symantec.com/avcenter/FixKlez.com adresinden bilgisayarınıza indirip çalıştırabilirsiniz.
Veya herhangibir AntiVirüs Programını bilgisayarınıza tekrar kurup  antivirüs yazılımını güncelledikten sonra taratıp virüsun etkilediği
dosyaları silerek bu virüsü temizleyebilirsiniz.(http://www.virus.com/ adresinden anti-virüs yazılımlarını download edebilirsiniz.)
 

Ref:

http://www.mcafeeb2b.com/naicommon/avert/avert-homepage.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/virus/alerts/klez-e.asp
http://www.symantec.com/avcenter/