מה רוצה התולעת?

הגירסה האחרונה של הווירוס "קלז" (KLEZ.H) הפכה למטרד אמיתי עבור משתמשים רבים בעולם ובישראל בימים האחרונים.

על פי חברת האנטי וירוס "טרנד מיקרו", קלז הוא כרגע הווירוס הפופולרי ביותר בעולם עם 30,850 הדבקות ב-24 שעות האחרונות ו-121,576 הדבקות בשבעה הימים האחרונים.

חברת נטוויז'ן מדווחת על עליה של 200 אחוזים במספר הפניות המגיעות למוקד התמיכה של סימנטק בהפעלתה בישראל. "ביומיים האחרונים אנחנו רואים תקיפות רבות של הוירוס החדש בישראל", אומר אריאל פיסצקי, מנהל אבטחת המידע בנטוויז'ן.

השורשים של קלז

"קלז" המקורי הופיע ברשת באוקטובר, 2001, בדואר אלקטרוני בו השולח מחפש עבודה, לכאורה. בגוף הטקסט נכתב:

"אני מצטער לעשות זאת אבל אין טעם לבקש סליחה. אני רוצה עבודה טובה, אני חייב לתמוך בהורים שלי. ראיתם את היכולות הטכניות שלי. מה גובה המשכורת השנתית שלי כיום, אתם שואלים? 5,500 דולר. מה אתם חושבים על זה? אל תגנו אותי, אני לא מתכוון לרע, אולי תעזרו לי?".

מאז הופצו כמה גירסאות "שדרוג" של "קלז", האחרונות שבהן (Klez.i, KLEZ.H וKlez-G) משתוללות ברשת בשבוע האחרון. נראה, כי כותב הווירוס, שמומחי אבטחה סבורים שמוצאו בסין, רואה ב"קלז" מעין "פרויקט פיתוח". קובץ טקסט ששילב בתוך הקוד "מסביר" על הגירסה החדשה. "הוירוס אינו נקי מבאגים בגלל העבודה המהירה, לא יותר משלושה שבועות", מצטדק כותב הווירוס.

בניגוד לווירוסים אחרים מסוג תולעת, "קלז" נושא עמו וירוס נוסף, בשם אלקרן (Elkern). וירוס אלקרן המקורי הדביק קובצי הפעלה (exe) במערכת ההפעלה Windows 2000 בלבד. הגירסה המשודרגת, Elkern.C (שנשלחת עם Klez.H), מדביקה קובצי הפעלה בכל הפלטפורמות של Windows.

וירוס קשה לזיהוי

קשה לזהות את "קלז" בתיבת הדואר הנכנס, ובכך טמונה הסכנה הרבה שבו - הווירוס מגיע בהודעת דואר אלקטרוני שנושאת אחת מ-120 כותרות אפשריות. עם הפעלתו, הווירוס ידביק את המחשב האישי, לעתים גם מבלי שהקורבן יפתח את הקובץ המצורף להודעה. הווירוס עושה זאת בכך שהוא מנצל פירצת אבטחה בתוכנת האאוטלוק ופותח עצמו אוטומטית.

לאחר ההדבקה, "קלז" סורק כתובות דואר אלקטרוני במחשב האישי כדי לשלוח עצמו לכתובות אלה באמצעות תוכנת דואר אלקטרוני עצמאית. "קלז" מסווה את המקור האמיתי של המכתב ויוצר שדה From מזויף במכתבים שנשלחים מהמחשב הנגוע.

"קלז" סורק את הדיסקים הקשיחים במחשב המודבק ומנסה לצרף קובץ מהמחשב האישי להודעות דואר אלקטרוני שהוא מפיץ למשתמשים אחרים. הווירוס עשוי לשלוח מסמכי אקרובט, אקסל, jpeg ו-mpeg ובכך עלול גם לשלוח מידע רגיש ואישי מהמחשב האישי.

לא מדובר בפעם הראשונה שווירוס מדליף מידע אישי ממחשבים. גם וירוס סירקאם, שהתגלה בשנה שעברה ושנשאר "פופולרי" למדי באינטרנט גם היום, מצרף מסמכים אישיים להודעות שנשלחות לקורבנות פוטנציאליים.

הווירוס גם מנסה לנטרל את תוכנת האנטי וירוס במחשב באמצעות מחיקת מפתחות במערכת הרישום, מנסה להפסיק את ההליכים שפועלים במחשב ולהסיר קובצי הגדרת וירוסים מתוכנת האנטי וירוס. לבסוף, "קלז" מפעיל את וירוס "אלקרן", שמפיץ את הווירוס למחשבים נוספים ברשת פנימית.

מה עושים?

על אף ש"קלז" משתכלל מגירסה לגירסה, רוב חברות האנטי וירוס מציעות קובץ חתימה אחד שמיועד לחסום את כל הגירסאות של משפחת וירוסים מסוימת. חברת "סימנטק" מציעה להורדה תוכנה שמזהה ומסירה את כל הגירסאות של "קלז" | למידע נוסף | | להורדת התוכנה |.

במקביל, כדאי לרכוש תוכנת אנטי וירוס ולהפעילה (אם העזתם לא לעשות זאת עד עכשיו) או לעדכן את תוכנת האנטי וירוס הקיימת. אחד הסימנים הראשונים המעידים על הידבקות ב"קלז", הן הודעות הדואר הרבות החוזרות ממשתמשים אחרים, שמודיעות כי ההודעות ששלח ללא ידיעתו הן נגועות.