A- Saiba um pouco mais sobre os efeitos causados pelo W32/Klez.I

W32/Klez.I é um sem-fim projetado para se propagar através do E-mail enviando através e-mails o seu Catálogo de endereço . O sem-fim alcança sistemas como um acessório do E-mail com um nome e uma extensão variáveis.
Quando W32/Klez.I é ativado, cria um arquivo no dobrador de Windows/System, que gira para fora para ser uma cópia do sem-fim. Além, de criar uma outro arquivo no dobrador de arquivos de Programas. Este arquivo gira para fora para ser um vírus - detectado como W32/Elkern.C- que infecta os arquivos que encontrou em todas as movimentações disponíveis em sistemas infectados; de A: a Z:. Além disso, o sem-fim pode incapacitar alguns programas do antivírus.
Você pode encontrar se o seu computador está infectado seguindo as seguintes etapas:

Se você for um usuário registrado, atualize seu antivírus em http://www.pandasoftware.com/com/updates.asp e realize uma varredura completa no seu computador.
Se você não for um usuário registrado, você pode usar nossa ferramenta em linha da exploração: ActiveScan .

B - Como posso eu proteger meu computador de W32/Klez.I?

- alto -

Siga as etapas para a proteção e para encontrar do vírus:

1. - Instale um bom antivírus em seu computador,

2. - Mantenha seu antivírus sempre atualizado,

3. - faça a proteção permanente em seu antivírus (se esta opção está disponível).
Este sem-fim faz exame da vulnerabilidade do Internet Explorer, explorada já por outros sem-fins, que poderiam permitir que os arquivos estejam funcionadas automaticamente simplesmente abrindo a mensagem correspondente ou através da placa da inspeção prévia do outlook. Para maiores informações sobre este assunto de vulnerabilidade visite a página da Microsoft- Vide link abaixo:
http://www.microsoft.com/technet/security/bulletin/MS01-020.ASP
Se você for um usuário registrado e você quiser proteger seus computadores (estações de trabalho ou usuários) dos vírus download a lima mais recente do vírus (04/26/02) disponível, estalando na seguinte ligação: http://www.pandasoftware.com/com/updates.asp se este o seu caso, será pedido para seus nome e senha do usuário.
Se você não for um usuário registrado e quiser proteger seus computadores (estações de trabalho e usuários), lembramos que é muito importante ter um programa updated do antivírus instalado. Clique aqui para encontrar a solução do antivírus .

C- Como reparar os problemas causados por W32/Klez.I

- alto -
Se você já tiver o Antivírus instalado,titânio ou platina do Panda você pode fazer atualização do seu produto.http://www.pandasoftware.com

Se você tiver uma rede pequena com o administrador de Panda instalado,você pode fazer atualização do seu produto. http://www.pandasoftware.com

Se você tiver uma rede grande com o administrador de Panda instalado, você pode fazer atualização do seu produto.http://www.pandasoftware.com

Se você não for um cliente do software de Panda, siga as etapas abaixo:

Além de infectar e de realizar outras ações destrutivas, W32/Klez.I cria determinadas mudanças na configuração de seu computador. Cria um sem-fim que modifica o registro de seu Windows.

O software de Panda oferece-lhe uma ferramenta que será possível restaurar a configuração original do seu computador: PQREMOVE
Se você tiver uma rede de computador, desconecte o cabo da rede das estações de trabalho e dos usuários . Desta maneira, você evitará infectar alguns outros elementos durante o processo do desinfetar.
Download do arquivo PQREMOVE.COM e conserve-a em um dobrador de sua escolha. Você pode download a ferramenta estalando no ícone abaixo:

PQREMOVE

(ATUALIZADO 04/26/02)

NOTA : Se você estiver usando o Netscape Navigator, siga estas etapas para download a utilidade de PQREMOVE: Clique no ícone com o botão direito do mouse , selecione a opção e, indique o diretório que você quer conservar este arquivo.
Clique sobre o arquivo que você downloaded . Então, siga as instruções.

NOTA : Mesmo que o Pqremove indique que não encontrou nenhum vírus ativo no sistema. Reinicie o seu computador e faça a varredura do sistema outra vez com Pqremove, a fim de, certificar-se de que o vírus esteja removido completamente.

Recomendamos que você reinstale a sua solução de antivírus.
Após utilizar o Pqremove, vide instruções abaixo:
Instruções para remoção em sistemas Windows
Em sistemas usando Windows ME pode haver casos em que, após ter eliminado um vírus, o antivírus se mantém no restore do dobrador _ repetidamente outra vez, sem suprimi-lo.

Siga as etapas abaixo para remover o vírus e para resolver este problema:
- Clique sobre iniciar .
- Clique em configuração .
- Clique sobre o painel de controle .
- Duplo-clique em sistema .
- Clique sobre desempenho .
- Clique sobre sistemas de arquivos .
- Clique sobre Solução de problemas.
- Verifique todos os checkbox do restore se estão desativados ou desative-os.
- Clique sobre Aplicar.

Será perguntado se você desejar reiniciar o computador. Uma vez que você o reinicia, o vírus terá sido eliminado.

Instruções da remoção em sistemas de Windows XP

Para desativar o restore do sistema siga e as etapas abaixo:

Clique em Meu computador no desktop
Clique em propriedades .
Clique sobre desempenho .
Clique sobre sistemas de arquivos .
Clique sobre Solução de problemas.
Verifique todos os checkbox do restore se estão desativados ou desative-os.
Clique sobre Aplicar.

Instruções da remoção em sistemas de Windows 98

Para permitir a utilidade do restore do sistema siga as etapas abaixo:

Selecione o ícone do Meu computador no desktop
Clique com o botão do mouse esquerdo em Meu computador
Clique sobre propriedades
Clique sobre restore do sistema .
Desative o restore do sistema em todo o checkbox .
Clique em aplicar
Clique sobre desempenho .
Clique sobre sistemas de arquivos .
Clique sobre Solução de problemas.
Verifique todos os checkbox do restore se estão desativados ou desative-os.
Clique sobre Aplicar.

Vírus Win32.Klez.h

Nível de Ameaça: médio

Chega por: Email, Network shares

Tipo: Win32, Worm, Trojan

Plataformas: Windows 95, 98, ME, NT, 2000, XP

Danos: modifica arquivos, afeta o sistema operacional, envia e-mails

Análise
O Win32.Klez.h é uma variável do Win32.Klez. Normalmente ele chega por e-mail contendo um arquivo executável anexado explorando a vulnerabilidade do formato MIME de transmissão de arquivos por e-mail no Internet Explorer. O vírus pode afetar a operação normal do sistema operacional e se propagar através de e-mail e network shares. Ele também pode vir sob o nome de vírus Win32.Alkern.d.

O email chega com o seguinte formato:

Assunto: uma frase aleatória escolhida de uma lista de assuntos pré-determinados e combinação de palavras

Corpo: uma mensagem aleatória de texto

Anexo: um arquivo escolhido aleatoriamente, podendo conter uma extensão simples ou dubla, por exemplo:

test.xls.bat
101.jpg.pif
game.exe

A última extensão também pode ser .EXE, .BAT, .PIF ou .SCR.

Nota: em algumas versões do Microsoft Outlook e do Outlook Express, o arquivo anexado pode não ser exibido na mensagem e ser executado automaticamente. Para maiores informações sobre esta vulnerabilidade e sobre o devido pacote de segurança da Microsoft para esta falha, veja em http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Atividade Maliciosa:
1. Quando o arquivo anexado é executado, ele se copiará e se esconderá em um atributo do diretório do Windows sob o nome Wink[random characters].exe.

2. Ele adicionará as informações Wink[random characters], "Wink[random characters].exe" na área de registro HKEY_CURRENT_USER\Software\Microsoft\Run

3. O vírus Win32.Elkern.d irá se espalhar criando aleatoriamente um nome de arquivo para programas normalmente encontrados no diretório “C:\arquivos de programas”. Este vírus pode infectar diretórios de Network Shares e também pode infectar o EXPLORER.EXE

4. Em redes, ele às vezes se copia aleatoriamente criando arquivos com nomes de extensão dupla. A segunda extensão pode ser .EXE, .PIF, BAT, .COM, .SCR, .RAR.

5. O vírus procurará por endereços de e-mails no catálogo de endereços do Windows e se enviará pelo protocolo SMTP.

Vírus MyLife.F

A família de vírus MyLife ganha agora nova versão, o MyLife.F. Assim como os outros parentes,
ele envia e-mails em massa destrói arquivos no drive C e na rede.

Variante de outros cavalos-de-tróia recentes, MyLife.B e C, o MyLife.F chega como o anexo
List480.txt.scr. A mensagem tenta enganar o destinatário, recomendando que leia o arquivo-texto.
Portanto, ela conta com a provável ocultação da extensão SCR – o que é padrão no Windows.

Se executado, o arquivo SCR verifica a hora no relógio do micro. Se a marca dos minutos for maior
ou igual a 50, ele tenta formatar os drives D, E, F, G, H e I. Depois, apaga todos os arquivos do drive C.

W32/Klez.C

Tipo: Worm

Origem: *desconhecida*

Características / Sinais de Infecção / Problemas que Acarreta:

W32/Klez.C é um worm desenhado para se disseminar através de correio eletrônico. As mensagens enviadas podem ter assuntos diversos enquanto os anexos são gerados com um nome aleatório. Uma vez que o worm seja executado, W32/Klez.C cria um arquivo no diretório Windows.
Adicionalmente, este worm incorpora um vírus polimórfico, denominado W32/Elkern, que busca arquivos executáveis no computador infectado para proceder com sua infecção. Este vírus só funciona corretamente em computadores com o Windows versão 98 instalado.

O worm faz seus ataques nos dias 13 dos meses ímpares (janeiro, março, maio, julho, setembro e novembro), quando W32/Klez.C destrói todo o conteúdo das unidades locais e das mapeadas na rede local.

Remoção Manual:
1. Delete os arquivos WINSVC.EXE e WQK.EXE;
2. Remova as duas chaves criadas no Registro do Windows:
    HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run
    No painel da direita remova todas as referências aos arquivos:
    WinSvc.exe e Wqk.exe

Caso você esteja infectado com o este vírus abaixo , segue um caminho para fazer um check em sua máquina e retirar o "W32badtransB", bem como outros vírus.

http://updates.pandasoftware.com/pq/gen/badtrans/pqremove.com
Para saber mais sobre este vírus visite o endereço abaixo: http://www.pandasoftware.com/library/W32BadtransB_en.htm

Vírus W32Badtrans.B

A nova versão do vírus Badtrans, que surgiu há apenas cinco dias no Reino Unido, já infectou computadores em 133 países e já ocupa o posto de praga virtual mais disseminada na Europa, na Ásia e na Austrália.

Segundo informações da MessageLabs, empresa que monitora o tráfego de e-mails entre empresas, o Badtrans.B já circulou cinco vezes mais que o vírus Sircam nas últimas 24 horas.

O serviço de rastreamento de vírus da Trend Micro, que usa dados coletados pela versão gratuita e on-line do antivírus House Call, já detectou o Badtrans.B em 6.744 micros desde ontem. Em segundo lugar, aparece o Nimda.E, com 4.691 infecções em micros domésticos.

O W32.Badtrans.B@mm usa o e-mail para se espalhar e muda o título das mensagens e o nome dos anexos a cada vez que envia uma cópia de si mesmo. Ele instala um cavalo de Tróia que monitora todas as teclas digitadas pelo usuário e, em seguida, envia-as para o hacker —que pode descobrir nomes de usuário, senhas e outras informações pessoais da vítima.

Caso o internauta abra o e-mail infectado e execute o anexo, a praga modifica as configurações do Windows e, de meio em meio segundo, envia as informações coletadas para um dos 22 e-mails cadastrados em seu código-fonte. Entre eles, correios com domínios do Yahoo! e do Excite.com.

Solução

Ele sempre se espalha com anexos de documentos .DOC, músicas .MP3 ou arquivos compactados .ZIP. Às extensões originais são acrescidas as extensões .PIF ou .SCR —que são executadas pelo Windows. Qualquer e-mail com anexos cujas extensões sejam essas devem ser apagados com "Shift+Del", para que a mensagem não permaneça na pasta Itens excluídos do Outlook.

Para eliminar a infecção de seu PC, primeiro apague o arquivo CP_25389.NLS, localizado no diretório C:\WINDOWS\SYSTEM. Depois, com o programa REGEDIT (no menu Iniciar, acesse Executar, digite "regedit" e tecle Enter), clique em HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, CurrentVersion e RunOnce.

A partir daí, no painel da direita, procure o valor "kernel32" e apague-o. Reinicie o computador e, com o antivírus atualizado, verifique o disco rígido. Apague os arquivos identificados por Badtrans.B.

Sircam ou W32.Sircam.Worm@mm

Descoberto em 17 de Julho de 2001
Última Atualização em: 918 de Julho de 2001 às 12:35:10

Faça o Download da Ferramenta de Remoção.

O W32.Sircam.Worm@mm contém seu próprio mecanismo de SMTP, e se propaga em uma maneira similar ao W32.Magistr.Worm. O SARC tem recebido várias submissões deste worm a partir de clientes corporativos. O worm ainda está sendo analisado, e este aviso será atualizado assim que novas informações se tornem disponíveis.

Também Conhecido Como: W32/SirCam@mm, Backdoor.SirCam

Categoria: Worm
Definições de Vírus: 17 de Julho de 2001

Atuação:

Número de infecções: 50 - 999
Número de locais: 0 - 2
Distribuição geografica: Média
Controle da ameaça: Moderado
Remoção: Moderada

Dano:

Gatilho: October 16th
Carga:
- Envio de e-mail em larga escala: O worm incorpora aleatoriamente documentos do próprio PC infectado.
- Apaga arquivos: 1 chance em 20 de apagar todos os arquivos e diretórios em C:.
- Ocorre apenas nos sistemas usando o formato de data D/M/A
- Degrada o desempenho: 1 chance em 33 de preencher todo o espaço restante do disco rígido, adicionando texto ao arquivo
  c:\recycled\sircam.sys em cada inicialização.
- Comunicação de informação confidencial: Ele irá exportar um documento aleatório a partir do disco rígido, adicionando-o ao corpo do worm

Fonte de consultas

Site do Panda antivírus

Site http://www.terravista.pt/BaiaGatas/7143/