klez virüsü | bildirgec.org

sanırım deli kelimesi az geliyor... gelen mailler konusunda haklısın ama mailler tamamen istek dışı geliyor ve dediğin gibide norton işe yaradığı söylenemez... regedit içinde ilk olarak Wink sonra .rar aratırsan nortonun pek işe yaramadığını göreceksin hatta norton deil hiç bir antivirus programı işe yaramıyor... yapılması gerekenler... ilk olarak - c: (varsa d:) içinde *.rar aratın ve cıknaları silin. - regedit çalıştırın wink ve .rar aratın bulunduğu yerde ki )şimdi tam hatırlamıyorum) varsayılan (default) hariç hepsini silin. - kullandığınız antivirüs programını calıştırın (updateli olmasına dikkat edin) virus olarak bulunan dosyaları silin.

bu işlemleri yaparken internet ve network içinde olmamaya dikkat edin. umarım işinize yarar... (Crocodile) yararmı ki unlucky?

bu virüs norton sayesinde bana bulaşmadı. bu sebeble norton'un işe yaramadığını söyleyemem. ama söyleyenlere de mani olmam :)

şu .rar dosyaları silme olayına takıldım ama, .rar bir sıkıştırma formatı olduğu için sistemimimde onlarca .rar olmalı benim. niye sileyim ki onları şimdi. ne olacak indirdiğim onca warez :P

symantec'in sitesinde klez'in kendini dosyaadı.txt.exe ya da dosyaadı.txt.rar şeklinde kopyaladığını yazıyor. bundan rar'ları silmemiz sonucu çıkıyorsa exe'leri de silelim mi ne dersiniz?

:)

klez.h ve klez.e olmak üzere 2 tane var. mart,nisan,haziran ve temmuz aylarinda c: kök dizinine yedeklerini alıyor. regedit 'den hkey_local_machinesoftwaremicrosoftwindows current_verrun veya runonce bolumlerinde wink* olan 2 tane registry var bunlari temizlediginizde. Yetersiz bellek mesajini etkisiz hale getirmis oluyorsunuz dolayisiyla bilgisayar acildiginda virus otomatik olarak etkin hale gelmiyor.(dikkatimi ceken bir baska noktada "adim adim onaylama" secilip. her alt rutin "e" olarak isaretlendiginde bilgisayar sorunsuz bir sekilde aciliyor, "normal" acmak ise en az 2 seferde 1 kilitlenme ile sonuclaniyor) fakat is burada bitmiyor. netscape, office, access veya bu tip can alici programlarin yedeklerini (msacc~1.exe veya netscape.yin seklinde) aliyor ve siz bu programlari calistiriyorum diye her tikladiginizda virusu tekrar aktif hale getirmis oluyorsunuz. virusun yarattigi backuplari tanimanin en kolay yolu random text ile kendi ismini yaratiyor olmasi. bunlari gordugunuz yerde sildikten sonra (tavsiyem mcafee fakat) herhangi bir virus program ile gerekli temizligi yapin. norton ne kadar basarili bilemem ama mcafee bu virus icin ayri bir .dat dosyasi hazirlamis ve sitesinde yeraliyor.

virusun bulasmasini engellemek istiyorsaniz virus programlari haric kullandiginiz mail programi dosyayi .htm seklinde acmamali. bu konuda outlook express kullananlarin isi zor diyebilirim. virusun sizdede varoldugunu anlamanin en kolay yolu ise mspaint gibi yada calculater gibi ufak bir programcigi bile calistirirken bilgisayarin sistem ozellikleri ne olursa olsun oldukca zorlanmasi. ayrica buradaki bilgisayarlarda bu virusle doluydu. dikkatimi ceken bir husus virusun aldigi .rar, .mp3, .gif gibi yedeklerin boyutlarinin 76.9kb veya 80.3kb olmasi temizlemek cok zor cook. kolay gelsin ne diyim :)

W32/Klez Virus Characteristics W32/Klez.h@MM, Microsoft Internet Explorer (ver 5.01 ya da 5.5 SP2 kurulmamış) "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" açığından yaralanarak bulaşabiliyor.

W32/Klez e-posta'nın kimden kısmını değişitirebiliyor. Gönderen adresi virüs tarafında etkilenmiş bir sistemin kullanıcınısını adresi olabiliyor. Gelen e-posta bu nedenle baska biri tarfından gönderimiş gibi gözükebilmektedir. Tüm e-posta başlığı okunduğunda bu anlaşılabilmektedir.

nternet solucanı e-posta mesajını Konu ve İçerik kısımlarını rastgele belirliyor.

Konu kısmı aşağıdaki kuraların bırısıne gore rastgele yaratılıyor:

1. "Hi,", "Hello," "Re:", Fw:", ya da boşlukla

birlikte

"Very", "special" ya da boşluk olarak ilk kelime

ve

"New", "funny", "nice", "humour", "excite", "good", "powful", "WinXP" ve "IE 6.0" ikinci kelime olucak şekilde aşağıdaki şekilde bir cümle kuruyor.

"A %s %s game." "A %s %s tool." "A %s %s website." "A %s %s patch."

örnek: "A special powful tool"

2. "W32.Elkern" ya da "W32.Klez.E" ile birlikte "removal tools" kullanarak konu belirliyebiliyor.

örnek: "W32.Klez.E removal tools"

3. Aşağıdaki listeden herhangi birini de şeçebiliyor:

how are you let's be friends darling so cool a flash,enjoy it your password honey some questions please try again welcome to my hometown the Garden of Eden introduction on ADSL meeting notice questionnaire congratulations Sos! japanese girl VS playboy look,my beautiful girl friend eager to see you spice girls' vocal concert japanese lass' sexy pictures Undeliverable mail -- Returned mail --

4. En son şeçenek olarak da "Worm Klez.E immunity" konusunu şeçiyor.

İçerik: İçerik virüs tarafından rastgele belirlenebileniyor veya boş da olabiliyor.

Eğer konu kısmı "Worm Klez.E immunity" ise e-posta içeriği aşağıdaki gibi oluyor: "Klez.E is the most common world-wide spreading worm. It's very dangerous by corrupting your files. Because of its very smart stealth and anti -anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as fake Klez to fool the real worm,so me AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me."

(Virüs boş konulu ve içerikli e-postalar da gönderebiliyor.)

Eklentileri rastgele isimlendirilmiş .PIF, .SCR, .EXE or .BAT uzantılı dosyalar oluyor.

Gerekli izinler olduğu sürece ağ paylaşımları yardımı ile de kendisini diğer biligisayarlar tek ya da çift tıklamayala çalışacak bir ya da iki uzanıtılı dosyalar olarak kopyalıyor.Örnek olarak:

350.bak.scr bootlog.jpg ALIGN.pif User.bat line.bat user.xls.exe Internet solucanı kendisini RAR aşiv dosyaları gibi de kopyalıyabiliyor.Örneğin:

HREF.mpeg.rar HREF.txt.rar lmbtt.pas.rar En son W32/Klez türevi Kampüsümüze Lisanlı McAfee VirusScan programını güncellemesi yapılarak tespit edilip temizlenebilmektedir.

Virüsün bir özelliği de bir çok değişik antivirüs programının sistemdeki çalışmasını durabilmesidir.

Belirtileri:

Rastgele isimlendirilmiş ag paylaşımları olası WINKxxx.EXE dosyasının ("xxx" rastgele karakterler) aşağıda beliritlen Registry dosyalarına anahtar olası: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ya da HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Temizleme Yöntemi: DAILY DAT dosyasını bilgisayara indirip çalıştırmak gerekmektedir. (ftp://ftp.metu.edu.tr/popular/virus-updates/mcafee/)

Tüm uygulmaları kapatın. Ağdan bağlantınızı çekin. START | RUN, 'command' yazın ve ENTER'a basın. VirusScan programının dizinine ulaşı: Win9x/ME - cd progra~1\common~1\networ~1\viruss~1\40~1.xx yazın ve ENTER'a basın WinNT/2K/XP - cd progra~1\common~1\networ~1\viruss~1\40F809~1.xx yazın ve ENTER'a basın SCAN.EXE dosyasının adını virüs çalışmasını durdurmaması ve ardından silmemesi için CLEAN.EXE olarak değiştirin. ren scan.exe clean.exe Önce sistem dizinini tarayın Win9x/ME - clean.exe %windir%\system\win*.exe yazın ve ENTER'a basın WinNT/2K/XP - clean.exe %windir%\system32\win*.exe yazın ve ENTER'a basın Tarama bittikten, clean.exe /adl /clean yazın ve ENTER'a basın Virüs tarama programını düzgün çalışabilmesi için CLEAN.EXE dosyası eski ismine geri çevrilmeli, CLEAN.EXE doysasını SCAN.exe olarak değiştirin.ren clean.exe scan.exe Tüm tarama ve temizleme bittikten sonra sistemi tekrar başlatın. ya da

Symantec Inc. tarafından yapılmış W32/Klez virüsüne özel temizleme aracını (FixKlez.com) ftp://ftp.metu.edu.tr/popular/antivirus/ bilgisayara indirip çalıştırmak.

Internet solucanı kendisini RAR aşiv dosyaları gibi de kopyalıyabiliyor.Örneğin:

HREF.mpeg.rar HREF.txt.rar lmbtt.pas.rar En son W32/Klez türevi Kampüsümüze Lisanlı McAfee VirusScan programını güncellemesi yapılarak tespit edilip temizlenebilmektedir.

hurriyetimde cikan habere gore antirus yazilimcilarinin raporu dogrultusunda klez nisan ayinin en babafingo virusu cikti.

tek kelime ile bu virusu yapana helal olsun diyorum. :((((

geçen hafta bana bulaşan bu virüs, bilgisayarımda fazla barınamadı... öncelikle regedit run anahtarındaki winkir.exe ye ait kaydı silmelisiniz. bilgisayarınızda anlamsız yer kaplayan winkir.exe yi sisteminiz altından kaldırın. network paylaşımı olan klasörlerinizin içindeki anlamsız *.zip yada *.rar dosyalarını kaldırın. en sonunda ise bir virüs programının son güncellemelerini yaparak virüs taramasından geçirin. bulunan virüsler muhtemelen silinemeyecektir. çözüm bulaşan dosyalarınızı silmekten geçiyor. kurtuldunuz işte. bir daha bu virüsle uğraşmak zorunda kalmamak için outlook express kullanıyorsanız ayarlar seçeneğinden oku sekmesinde bulunan "haber iletisini otomatik olarak önizleme bölmesinde göster" checkbox ındaki işareti iptal etmelisiniz. bundan sonra gelen yukarıda da açıklanmış olan *** konulu ve eklentili mailleri silemeniz yeterli olacaktır... sizin üzerinizden kimseye bulaşmasını istemiyorsanız adres defterinizi boş tutmalısınız... web tabanlı bir rmail kullanıyorsanız email açmadan silin açtıysanız temp klasörünü hemen boşaltın..

drEam arkadasımızın yaptıgı acıklama cok yeterli bir acıklama idi. Sayesinde atlattım. Ama kolay olmadı. Sanırım yaptıgı acıklama mcafee nin acıklamasının turkce cevrisi (ordaki ile tıpa tıp aynıydı) virus gitti gideli internet oyle bir hızlandı ki 4 mb dosyayı 10 dk da indirir oldu :))

manuel degisiklikler virusu sadece belli bir sure icin hipnotize ediyor ama durdurmuyor. ayrica symantec kullananlarda sanirim pek sevinmeseler iyi olacak cunku lisansli symantec kullanan bir arkadasim bu soruna care bulamadi ve mcafee 'ye terfi etti. bu arada regedit 'ten temizlediginiz dosyalari windows\system klasorundende temizleyin. bence format atsaniz daha iyi olur cunku virus dogurmussa(backuplarini almissa) buyuk ihtimalle browser 'iniz ve office 'te bu nezleyi kapmis demektir.

yapma etme. nerdeyse 4 saattir ugrasıyorum. önce virus oldugunu anlamaya calıstım. sonra virusu klez oldugunu anladım.Hemen buraya gelip Dream'in yazdıklarına baktım. onları uygulamak ıcın restart lar attım. bu sırada symantec in remove tool lu cekip onu calıstırdım. ( bu sırada bir seyi kesfettim virus calısan antivirus programlarını direk siliyor.hatta o cektiğim remove tool u bile ) Sonra yok bu boyle olmayacak dedim Mcafee yi kurdum. mcafee yi update etmek icin saatlerimi verdim. oyle boyle deken klez harici bir cok viruse rastladım. hatta aralarında CİH bile vardı. o an Allaha sukur ettim. simdi ise son restart atacam.

Allahım ben neden sildim mcafee yi yaa. cok yer kaplıyo diye silmiştim, bir kendime guvendiğimden sildim. tamam kendime guvenim tamda bu bilgisayarı sadece ben kullanmıyorum ki. zaten arastırırken virusun baska kullanıcı hesabından bulastıgını anladım. yok bi daha tovbe olurumde mcafee yi silmem.

mcafee yapimcilarina bu yazdiklarini mail ile ulastirmak lazim. kimbilir ne kadar mutlu olacaklar