Il virus Klenz

Apparso all'inizio del 2002, il virus Klenz rappresenta un rischio importante a causa anche delle nuove varianti del virus che continuano a comparire (Klez.e, Klez.g, Klez.h, Klez.i, Klez.k, ecc.). Le nuove versioni del virus integrano dei meccanismi di diffusione sempre più innovanti che rendono la sua propagazione ancora più facile.

Klenz: cos'è

Il virus Klenz (nome in codice W32.Klez.Worm@mm) è uno worm che si diffonde attraverso la posta elettronica. Sfrutta anche 4 altri modi di propagazione: le cartelle condivise, il web, le falle del server Microsoft IIS e gli scambi di file. Il virus infetta soprattutto gli utenti di Microsoft Outlook sui sistemi operativi Windows 95, 98, Millenium, NT4, 2000 e XP nonché gli utenti di Microsoft Internet Explorer.

Le azioni del virus

Lo worm Klenz recupera l'elenco degli indirizzi presenti nella rubrica di Microsoft Outlook, Eudora nonché dei software di messaggeria istantanea (ICQ). Poi il virus Klenz invia a tutti i destinatari un messaggio attraverso il proprio server SMTP. Così il virus è capace di generare dei messaggi con corpo di testo vuoto, oggetto scelto aleatoriamente tra una gamma di una centinaia di temi predefiniti e allega al messaggio un documento eseguibile che contiene una variante del virus. I virus che usano un'estensione del tipo .eml sfruttano una falla di Microsoft Internet Explorer 5.

Nota Bene: il virus Klenz ha come particolarità il fatto di essere capace di inviare delle mail facendosi passare per un mittente il cui indirizzo è stato trovato sul terminale della vittima (il virus traffica nel campo da delle mail inviate).

Le varianti più recenti del virus imbarcano anche degli strumenti che permettono loro di rendere obsoleti i principali anti-virus. Colmo del cinismo: gli autori del virus lo hanno programmato per inviare alle vittime uno pseudo-correttivo contro esso stesso in un messaggio intitolato Worm Klez.E immunity. La mail invia anche dei falsi messaggi di errore indicando che un messaggio non ha potuto essere consegnato e come allegato un'ulteriore copia del virus.

D'altra parte il virus Klenz è capace di diffondersi attraverso le cartelle condivise delle reti Microsoft Windows infettando i file eseguibili che vi si trovano. La consultazione delle pagine Web su server infettati dal virus Klenz può generare un'infezione quando un utente consulta queste pagine con un navigatore Microsoft Internet Explorer 5 vulnerabile. In effetti, il virus Nimda è capace anch'esso di controllare un server Web Microsoft IIs (Internet Information Server) sfruttando alcune falle di sicurezza. Infine, come i suoi colleghi, il virus infetta i file eseguibili presenti sul terminale infetto, il che significa che è anche capace di diffondersi per scambio di file.

Nota Bene: per completare il quadro, il virus Klenz è previsto per eliminare dei file scelti a caso ogni sesto giorno (quindi il 6 del mese) dei mesi dispari. Ciliegina sulla torta: il 6 gennaio e il 6 luglio il virus elimina tutti i file presenti sul disco.

Sintomi dell'infezione

Il virus Klenz usa il massimo di risorse possibile sul terminale infetto. Se il vostro computer reagisce lentamente e in modo bizzarro, la prima cosa da fare è passare tutti i dischi con l'antivirus, sapendo che il virus è capace di aver modificato l'antivirus per non essere individuato.

Sradicare il virus

Per sradicare il virus Klenz, il metodo migliore è innanzi tutto sconnettere il terminale infetto dalla rete, poi usare un antivirus recente oppure il kit di disinfezione proposto da Symantec (riavviando di preferenza il computer in modalità sicura): Scaricare il kit di disinfezione.

D'altra parte, il virus si diffonde attraverso una falla di sicurezza di Microsoft Internet Explorer, il che significa che potete essere contaminati dal virus navigando su un sito infetto. Per poter rimediare è necessario scaricare il patch (correttivo software) per Microsoft Internet Explorer 5.01 e 5.5. Verificate quindi la versione del vostro navigatore e scaricate il correttivo se necessario.

Nota Bene: dato che il virus falsifica l'indirizzo mail del mittente (campo from), si consiglia di non rispondere a mittenti di virus ma di mantenere il campo Return-Path della mail e scrivere un messaggio a quest'ultimo.

Foto: © Martial Red – Shutterstock.com

I nostri contenuti sono creati in collaborazione con esperti di high-tech, sotto la direzione di Jean-François Pillou, fondatore di CCM.net. CCM è un sito di high-tech leader a livello internazionale ed è disponibile in 11 lingue.
Il documento intitolato « Il virus Klenz » dal sito CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.