O vírus Klez

Janeiro 2017

Apresentação do vírus Klez

Aparecido no início do ano 2002, o vírus Klez está doravante omnipresente em todas as redes e o risco que representa é ainda maior dado que novas alternativas do vírus não cessam de aparecer (Klez.e, Klez.g, Klez.h, Klez.i, Klez.k,…). As novas versões do vírus integram mecanismos de divulgação cada vez mais inovadores que tornam a sua propagação cada vez mais fácil. O vírus KLEZ (nome de código W32.Klez.Worm@mm) é um verme que se propaga com a ajuda do correio electrónico. Explora igualmente 4 outros modos de propagação:

  • A web
  • Os directórios partilhados
  • As falhas de servidor Microsoft IIS
  • As trocas de ficheiros



Afecta particularmente os utilizadores do Microsoft Outlook em sistemas de exploração Windows 95,98, Millenium, NT4, 2000 e XP, bem como os utilizadores do Microsoft Internet Explorer.

As acções do vírus

O verme Klez recupera a lista dos endereços presentes nas agendas de endereços do Microsoft Outlook e Eudora, bem como os softwares de mensagens instantâneas (ICQ).

Seguidamente, o vírus Klez envia a todos os destinatários um correio através do seu próprio servidor SMTP.

Assim, o vírus Klez é capaz de gerar mensagens cujo corpo está vazio, cujo assunto é escolhido aleatoriamente entre uma gama de uma centena de temas predefinidos e com um anexo realizável que contém uma variante do vírus. Os vírus que utilizam uma extensão do tipo .eml exploram uma falha do Microsoft Internet Explorer 5.

O vírus Klez tem como particularidade ser capaz de enviar mails fazendo-se passar por um remetente cujo endereço foi encontrado na máquina da vítima (o vírus trafica o campo from do mail enviado).

As alternativas mais recentes do vírus integram mesmo instrumentos que lhes permitem tornar obsoletos os principais antivírus.

Cúmulo do cinismo: os autores do vírus programaram-no para enviar às vítimas uma pseudo-correcção contra ele mesmo, num correio intitulado Worm Klez.E immunity.

Por outro lado, o vírus Klez é capaz de se propagar através dos directórios partilhados das redes Microsoft Windows, infectando os ficheiros realizáveis que aí se encontram.

A consulta de páginas Web em servidores infectados pelo vírus Klez pode provocar uma infecção quando um utilizador consulta estas páginas com um navegador Microsoft Internet Explorer 5 vulnerável.


Com efeito, o vírus Nimda é igualmente capaz de controlar um servidor Web Microsoft IIS (Internet Informação Server) explorando certas falhas de segurança.

Por último, como os seus confrades, o vírus infecta os ficheiros realizáveis presentes na máquina infectada, o que significa que é igualmente capaz de se propagar por troca de ficheiros.

Para completar o quadro, o vírus Klez é suposto suprimir ficheiros escolhidos aleatoriamente todos os sextos dias (por conseguinte, o dia 6 do mês) dos meses ímpares. Pequena cereja no topo do bolo: nos dias 6 de Janeiro e 6 de Julho o vírus apaga a totalidade dos ficheiros presentes no disco!!

Sintomas da infecção

O vírus Klez utiliza o máximo de recursos possível na máquina infectada. Se o seu computador está lento e reage de forma estranha, a primeira coisa a fazer é por conseguinte passar o conjunto dos seus discos a pente fino com o seu antivírus, sabendo que o vírus é capaz de ter alterado o antivírus para ser localizado…

Erradicar o vírus

Para erradicar o verme Klez, o melhor método consiste em primeiro lugar em desligar a máquina infectada da rede, seguidamente utilizar um antivirus recente ou o conjunto de desinfecção proposto pela Symantec (reiniciando preferivelmente o computador em modo seguro): <a href="desinfection.php3">
Fazer o download do conjunto de desinfecção </a>

Por outro lado, o vírus propaga-se através de uma falha de segurança do Microsoft Internet Explorer, o que significa que pode ser contaminada pelo vírus navegando num síte infentado. Para remediar, é necessário fazer o download do patch (correcção "software") para o Microsoft Internet Explorer 5.01 e 5.5. Assim, verifique a versão do seu navegador e faça o download da correcção, se necessário:
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp


Já que o vírus falsifica o endereço correio electrónico do remetente (campo from), é aconselhável não responder ao remetente do vírus mas olhar para o campo Return-Path do mail e escrever uma mensagem a este último!

Mais informações sobre o vírus

Veja também


The Klez virus
The Klez virus
El virus Klez
El virus Klez
Le ver Klez
Le ver Klez
Il virus Klenz
Il virus Klenz
Última modificação: 2 de outubro de 2009 às 11:05 por owliance.pt_004.
Este documento, intitulado 'O vírus Klez', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.