Programy antywirusowe
| darmowe programy: | szczepionki / removal tools | 'kompletna' | Alerty antywirusowe | ||
| AVG | AntiVir | Skaner online | Mydoom| Dumaru| Sobig| Yaha| Bugbear| Opasoft | Lirva| Klez| NetskyB | ||
AVG 6.0
![(3 740KB ]](being0e.gif){kind=small}
DOWNLOAD AVG FREE EDITION - www.grisoft.comProgram antywirusowy z Czech. Łączy w sobie trzy niezależne moduły chroniące komputer przed wirusami na różne sposoby. Podstawowy On-Demand Scanner, czyli typowy skaner uruchamiany na życzenie użytkownika, poszukuje wirusów w zależności od ustawień - w typowych plikach wykonywalnych lub we wszystkich. Przeszukuje też archiwa, również samorozpakowujące się. Nowe wirusy, jeszcze nieumieszczone w bazie danych, wykrywa metodą heurystyczną lub po porównaniu sumy kontrolnej pliku z danymi zapisanymi podczas wcześniejszego skanowania. Można również użyć obu metod jednocześnie. Drugi moduł to tzw. Resident Shield, czyli skaner kontrolujący w tle wszystkie używane lub kopiowane pliki, również makra oraz boot sektory dysków. Kolejnym jest E-Mail Scanner, czyli aplikacja odpowiedzialna za kontrolowanie przychodzącej i wysyłanej poczty. Moduł współpracuje z Outlookiem, Outlook Expressem oraz Eudorą. Na życzenie użytkownika program może dołączać do każdej wiadomości komunikat informujący o przetestowaniu jej przez AVG. Interfejs programu jest czytelny i przejrzysty, dzięki czemu nawet początkujący poradzą sobie z jego obsługą.
Przed pobraniem pliku należy wypełnić formularz (na stronie www producenta) i podać adres e-mail, na który zostanie przysłany indywidualny numer seryjny programu potrzebny do jego instalacji.
Get Your AVG For Free ! Here, you can get your free copy of the AVG 6.0 Anti-Virus System - AVG 6.0 Free Edition and you will be able to use it without any limitations for life of the product.
AVG Free Edition is now available for all single home users worldwide! More detailed information can be found in the AVG Free Edition License Agreement.
Non-profit organizations may apply for a non-profit discount.
Download, install and use AVG 6.0 Free Edition and get:
- AVG Resident Protection
- AVG Email Scanner
- AVG On-Demand Scanner
- Scheduled Tests
- Free Virus Database Updates
- Automatic Update feature
- Easy-To-Use Interface
- Automatic Healing of infected files
- AVG Virus Vault for safe handling of infected files
Are you interested ?
If you are interested in our offer and you would like to get your free copy of AVG 6.0 Anti-Virus System, you will need to :- agree to the AVG Free Edition license agreement
- fill in the simple questionaire form
- download the program distribution package
- check your email - you will get your private AVG serial number via email.
- install the program
Personal EditionThe private and individual use of the AntiVir Personal Edition is completely free of charge!
Even though viruses have now grown very numerous, one thing hasn't changed: our commitment to provide you with all-round protection. The reliability of AntiVir is demonstrated in numerous comparison test and references featured in independent trade journals.
The AntiVir Personal Edition offers the effective protection against computer viruses for the individual and private use on a single PC-workstation. In order to make possible an easy operation, the AntiVir Personal Edition is developed to the essential points.
You'll be amazed how thoroughly AntiVir protects:
detects and removes more than 50,000 viruses
always among the winners of comparison test featured in computer journals
the resident Virus Guard serves to monitor file movements automatically,
e.g. downloading of data from the internet
scanning and repair of macro viruses
Protection against previously unknown macro viruses
easy operation
Internet-Update Wizard for easy updating
Protection against previously unknown boot record viruses and master boot record viruses
support is free of charge via AntiVir Bulletin Board
For informations about the fully featured, network-enabled Professional Edition please visit www.hbedv.com.
jest aplikacją opartą na technologii ActiveX. W czasie ładowania strony komponent ActiveX zostanie zainstalowany w twoim komputerze. Od tego momentu możesz skanować swoje dyski, wykrywać i usuwać wirusy.Wystarczy tylko przeglądarka Internet Explorer 4.x i nowsze lub Netscape 6.01 (i wyższe oraz kompatybilne) Pracuje pod systemami operacyjnymi Windows 95/98/Me/NT/2000/XP. Skaner nie wymaga stałego połączenia z internetem. Połączenie jest niezbędne tylko w momencie aktualizacji skanera.
Usługa jest bezpłatana.
Szczegółowy opis działania Skanera On-Line.
Alerty antywirusowe
ze strony 
Nowinki i alerty antywirusowe można zaprenumerować
18 lutego 2004
Netsky.B
removal tool / szczepionka (Netsky.B/Moodown.B): pobierz / download[usuwa także: Swen, Opasoft, Blaster, Yaha, Deadhat, Doomjuice, Beagle, Mydoom]
Również znany jako: Worm.Netsky.B, Worm.Moodown.B
Typ: robak, Długość: 22016, Niszczący dyski: nie, Niszczący pliki: nie, Efekty wizualne: nie, Efekty dźwiękowe: nie
Netsky.B jest robakiem internetowym, którego działanie polega na rozprzestrzenianiu się za pomocą poczty elektronicznej oraz poprzez programy do wymiany plików w Internecie.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
Od: [fałszywy adres]
Temat: [losowy]
Treść: [losowo stworzona z poniższych słów]: something is fool; something is going wrong; you are bad; you try to steal; you feel the same; you earn money; thats wrong; why?; take it easy; reply; do you?; that's funny; here, the cheats; here, the introduction; here, the serials; from the chatter; about me; information about you; something is going wrong!; stuff about you?; greetings; see you; here it is; that is bad; yes, really?; i found this document about you; your name is wrong; i hope it is not true!; kill the writer of this document!; something about you!; I have your password!; you are a bad writer; is that from you?; i wait for a reply!; is that your account?; is that your name?; is that true?; here; my hero; read it immediately!; here is the document.; read the details.; i'm waiting; what does it mean?; anything ok?;
Załącznik: [losowa nazwa jedna z poniższych].[com, exe, pif, scr, zip]: aboutyou; attachment; bill ; concert ; creditcard; details; dinner; disco; doc; document; final; found; friend; information; jokes; location; mail2; mails; me; message; misc; msg; note; object; part2; party; posting; product; ps; ranking; release; shower; stuff; swimmingpool; talk; textfile; topseller; website;
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku o nazwie c:\windows\services.exe lub c:\winnt\services.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
Robak usuwa z rejestru z klucza
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wpisy o nazwach Taskmon, Explorer, KasperskyAV, System.
Robak tworzy na dysku także szereg swoich kopii w skompresowanych archiwach zip, w plikach o nazwach:
aboutyou.zip ; attachment.zip ; bill.zip ; concert.zip ; creditcard.zip ; details.zip ; dinner.zip ; disco.zip ; doc.zip ; document.zip ; final.zip; found.zip ; friend.zip ; information.zip ; jokes.zip ; location.zip; mail2.zip ; mails.zip ; me.zip ; message.zip ; misc.zip ; msg.zip ; note.zip; object.zip ; part2.zip ; party.zip ; posting.zip ; product.zip ; ps.zip ; ranking.zip ; release.zip ; shower.zip ; stuff.zip ; swimmingpool.zip; talk.zip ; textfile.zip ; topseller.zip ; website.zip;
Następnie robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w plikach z rozszerzeniami: msg, oft, sht, dbx, tbb, adb, doc, wab, asp, uin, rtf, vbs, html, htm, pl, php, txt, eml, używając do tego własnego silnika SMTP.
Na koniec robak tworzy swoje kopie we wszystkich katalogach zawierających w swojej nazwie ciąg Share (zwykle będących udostępnionymi katalogami w programach do wymiany plików w Internecie) w plikach o następujących nazwach:
doom2.doc.pif ; sex sex sex sex.doc.exe ; rfc compilation.doc.exe ; dictionary.doc.exe ; win longhorn.doc.exe ; e.book.doc.exe ; programming basics.doc.exe ; how to hack.doc.exe ; max payne 2.crack.exe ; e-book.archive.doc.exe ; virii.scr ; nero.7.exe ; eminem - lick my pussy.mp3.pif ; cool screensaver.scr ; serial.txt.exe ; office_crack.exe ; hardcore porn.jpg.exe ; angels.pif ; porno.scr ; matrix.scr ; photoshop 9 crack.exe ; strippoker.exe ; dolly_buster.jpg.pif ; winxp_crack.exe;
28 stycznia 2004
Mydoom.A, B
removal tool / szczepionka (Mydoom/Novarg A, B): pobierz / downloadMydoom.A, B [aliasy:W32.Novarg.A[B]@mm, Win32.Mydoom.A[B] WORM_MIMAIL.R] jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz udostępnianiu możliwości przejęcia kontroli nad zainfekowanym komputerem. Robak umożliwia również przeprowadzanie ataku typu Denial of Service.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach :
Temat: [jeden z poniższych]
test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status, Error
Treść: [jedna z poniższych]
Mail transaction failed. Partial message is available. The message contains Unicode characters and has been sent as a binary attachment. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Załącznik: [poniższa nazwa]
document, readme, doc, text, file, data, test, message, body,
[z jednym z poniższych rozszerzeń]
.pif .scr .exe .cmd .bat .zip
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku następujące pliki: shimgapi.dll, taskmon.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
Robak wyszukuje adresy poczty elektronicznej z plików z rozszerzeniami htm, sht, php, asp, dbx, tbb, adb, pl, wab, txt i następnie wysyła na nie swoje kopie za pomocą poczty elektronicznej. Również adres nadawcy jest jednym z adresów odnalezionych w powyższych plikach. Do wysyłania poczty robak korzysta z własnego silnika SMTP.
Dodatkowo robak umożliwia nieautoryzowany dostęp do zainfekowanego komputera oczekując na połączenia na portach od 3127 do 3198. Ponadto robak zawiera procedurę przeprowadzaniu ataku typu Denial of Service aktywowaną 1 lutego 2004.
26 stycznia 2004
Dumaru J
removal tool / szczepionka (Dumaru): pobierz / downloadRównież znany jako:WORM_DUMARU.Y, W32.Dumaru.Y@mm, W32/Dumaru-Y
Typ: robak Niszczący dyski: nie Niszczący pliki: nie Efekty wizualne: nie Efekty dźwiękowe: nie
Dumaru.J jest kolejnym członkiem rodziny robaków internetowych, których działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej. Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
Od: "Elene" (censored)
Temat: Important information for you. Read it immediately !
Treść:
Hi ! Here is my photo, that you asked for yesterday. Załącznik: myphoto.zip
Po rozpakowaniu przez użytkownika załączonego archiwum i uruchomieniu znajdującego się w nim pliku myphoto.jpg.[wiele spacji].exe robak tworzy na dysku swoje kopie w następujących plikach:
L32x.exe Vxd32v.exe Dllxw.exe Zip.tmp
oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows oraz przy logowaniu się do systemu. W systemach Windows 95/98/Me robak modyfikuje również plik system.ini dodając do niego swoje wywołanie. Robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów, których adresy odnajdzie w plikach z rozszerzeniami: htm, wab, html, dbx, tbb, abd, znajdujących się na dysku.
27 czerwca 2003
Sobig E
removal tool / szczepionka (SobigE): pobierz / downloadRównież znany jako: Worm.Sobig.E Typ: robak Długość: 82195 Niszczący dyski: nie Niszczący pliki: nie Efekty wizualne: nie Efekty dźwiękowe: nie
Sobig.E jest kolejną wersją znanego robaka internetowego, którego działanie polega na rozsyłaniu swoich kopii za pomocą poczty elektronicznej. Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
Temat: [jeden z poniższych]
Re: Application Re: Movie Re: Movies Re: Submitted Re: ScRe:ensaver Re: Documents Re: Re: Application ref 003644 Re: Re: Document Your application Application.pif Applications.pif movie.pif Screensaver.scr submited.pif new document.pif Re: document.pif 004448554.pif Referer.pif
Treść: See the attached file for details.
Załącznik: [jeden z poniższych]
your_details.zip (contains details.pif) application.zip (contains application.pif) document.zip (contains document.pif) screensaver.zip (contains sky.world.scr) movie.zip (contains Movie.pif)
Uwaga ! adres nadawcy wiadomości zawierającej robaka wybierany jest losowo przez robaka, podobnie jak adres odbiorcy. Zatem otrzymanie listu z robakiem nie oznacza bynajmniej, że adres znajdujący się w polu nadawcy należy do zainfekowanego użytkownika. Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku winssk32.exe oraz modyfikuje tak rejestr by jego kopia była uruchamiana przy każdym starcie systemu Windows. Dodatkowo robak tworzy plik pomocniczy msrrf.dat. W kolejnym etapie swego działanie robak rozprzestrzenia się w sieci lokalnej starając się stworzyć swoje kopie na innych komputerach w następujących katalogach, jeżeli są dostępne do zapisu:
c:\Windows\All Users\Start Menu\Programs\StartUp c:\Documents and Settings\All Users\Start Menu\Programs\Startup
Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów znalezionych w plikach z rozszerzeniami wab, dbx, htm, html, eml, txt.
14 marca 2003
Yaha (A-Q)
removal tool / szczepionka (Yaha A-Q): pobierz / downloadRównież znany jako: W32.Yaha.P, Worm.Lentin.M
Typ: robak
Długość: 45568
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie
Yaha.P jest kolejnym robakiem internetowym z licznej rodziny robaków Yaha, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz wyłączaniu działania niektórych programów antywirusowych.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego.
Załącznik: [jeden z poniższych]
Love.scr Project.exe Romantic.scr FixKlez.com FixElkern.com Cupid.scr Notes.exe MyPic.scr FreakOut.exe THEROCK.scr Britney_Sample.scr zXXX_BROWSER.exe Love.scr Valentines_Day.scr Beautifull.scr Ways_To_Earn_Money.exe MyProfile.scr My_Sexy_Pic.scr KOF.exe King_of_Figthers.exe KOF2002.exe KOF_The_Game.exe KOF_Demo.exe KOF_Sample.exe KOF_Fighting.exe MyPic.scr Hacker.scr Romeo_Juliet.scr Free_Love_Screensavers.scr Ravs.scr zDenka.scr Jenna_Jemson.scr Sexy_Jenna.scr Sweetheart.scr up_life.scr World_Tour.scr Hacker_The_LoveStory.scr VXer_The_LoveStory.scr Services.scr Body_Building.scr Peace.scr Screensavers.scr xxx4Free.scr Hardcore4Free.scr Playboy.scr Plus2.scr Plus6.scr Real.scr Sex.scrSoccer.scr Stone.scr I_Love_You.scr SQL_4_Free.scr Codeproject.scr The_Best.scr
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoje kopie w plikach ExeLoader.exe, Mstask32.exe oraz modyfikuje tak rejestr by jego kopia była uruchamiana przy każdym starcie systemu Windows oraz przy uruchamianiu dowolnego programu z rozszerzeniem exe.
Robak stara się również wyłączyć działanie niektórych modułów rezydentnych programów antywirusowych i firewalli . Następnie robak rozsyła swoje kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w książce adresowej systemu Windows, w programach MSN Messenger, .NET Messenger, Yahoo Pager oraz w plikach z rozszerzeniami htm i html, znajdujących się na dysku.
10 stycznia 2003
Lirva (A,B,C)
removal tool / szczepionka (Lirva A-C): pobierz / downloadTyp: robak
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie
Data aktywacji: 7 każdego miesiąca, 11 każdego miesiąca, 24 każdego miesiąca
LIRVA jest robakiem pocztowym, którego działanie polega na rozsyłaniu własnych kopii pocztą elektroniczną, a także rozprzestrzenianiu się za pośrednictwem IRCa, ICQ i KaZaA. Dodatkowo robak wysyła pocztą elektroniczną dane autoryzujące połączeń dial-up do swojego autora.
Robak w wysyłanych przez siebie mail'ach wstawia w pole nadawcy (From) i w pole adresu do odpowiedzi (Reply-To) dowolne znalezione w komputerze ofiary adresy email, dlatego nadawcą rzeczywistym robaka nie jest osoba identyfikowana przez adres email w polu nadawcy.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego :
Resume.exe Download.exe MSO-Patch-0071.exe MSO-Patch-0035.exe Two-Up-Secretly.exe Transcripts.exe Readme.exe AvrilSmiles.exe AvrilLavigne.exe Complicated.exe Singles.exe Sophos.exe Cogito_Ergo_Sum.exe CERT-Vuln-Info.exe Sk8erBoi.exe IAmWiThYoU.exe ADialer.exe TrickerTape.exe Phantom.exe EntradoDePer.exe SiamoDiTe.exe BioData.exe ALavigne.exe [losowa nazwa].TXT [losowa nazwa].DOC
Po uruchomieniu przez użytkownika robak stara się wyłączyć rezydentne monitory programów antywirusowych oraz firewalli.
Robak tworzy na dysku swoje kopie w plikach o losowo generowanych nazwach i rozszerzeniach tft i exe. Dodatkowo robak modyfikuje tak rejestr by jego kopia była uruchamiana przy każdym starcie systemu Windows, następnie robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów znajdujących się w książce adresowej systemu Windows oraz w plikach z rozszerzeniami dbx, mbx, wab, html, eml, htm, tbb, shtml, nch, idx. Generowany przez robaka list wykorzystuje błąd w niezabezpieczonych programach Microsoft Outlook i Outlook Express powodujący automatyczne uruchomienie załącznika przy oglądaniu podglądu treści listu.
Dodatkowo robak rozprzestrzenia się poprzez IRCa, ICQ i KaZaA oraz poprzez sieć lokalną, wyszukując udostępnione w całości dyski C:
Ponadto robak 7, 11, 24 dnia miesiąca robak uruchamia przeglądarkę internetową otwierając stronę pod adresem www.avril-lavigne.com .
26 listopada 2002
Winevar
removal tool / szczepionka: pobierz / downloadRównież znany jako: Worm.Winevar
Typ: robak
Długość: 90992
Niszczący dyski: nie
Niszczący pliki: tak
Efekty wizualne: nie
Efekty dźwiękowe: nie
Winevar jest robakiem pocztowym, który poza rozsyłaniem własnych kopii za pomocą poczty elektronicznej przenosi również robaka FunLove oraz stara się wyłączyć i usunąć programy antywirusowe i firewalle. Robak posiada procedurę destrukcji polegającą na usuwaniu plików z dysku systemowego.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektroniczne
Robak tworzy na dysku swoją kopię w pliku WIN[losowe znaki].PIF oraz modyfikuje tak rejestr by jego kopia była uruchamiana przy każdym starcie systemu Windows.
W kolejnym etapie swego działania robak wyświetla okienko dialogowe oraz aktywuje swoją procedurę destrukcji. Polega ona na wyłączaniu procesów monitorów antywirusowych oraz firewalli oraz usuwanie wszystkich plików i katalogów z dysku na z którego został uruchomiony robak.
Poza swoimi działaniami robak przenosi również groźnego robaka FunLove.
1 października 2002
Bugbear
removal tool / szczepionka: pobierz / downloadRównież znany jako: W32.Bugbear, W32.Tanatos
Typ: robak
Długość: 50688
Bugbear jest robakiem internetowym, którego działanie pozwala na rozsyłanie własnych kopii za pomocą poczty elektronicznej oraz poprzez udostępnione zasoby w sieci lokalnej, a także pozwala na przejęcie kontroli nad komputerem ofiary poprzez sieć.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego. Parametry tego listu są bardzo różne ponieważ komponowany jest on na podstawie prawdziwego listu znajdującego się w programie pocztowym zainfekowanego nadawcy. Plik robaka znajdujący się w załączniku posiada dwa rozszerzenia, z czego drugie jest jednym z następujących: scr, pif, exe.
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku, w katalogu systemowym Windows swoją kopię w pliku o losowej nazwie [cztery losowe znaki].exe. Dodatkowo tworzona jest kopia w katalogu Autostartu, w pliku o nazwie [trzy losowe znaki].exe. Ponadto robak tworzy na dysku kilka plików pomocniczych.
W kolejnym etapie swego działania robak wyłącza kilka programów antywirusowych i firewalli.
Następnie robak stara się rozprzestrzeniać poprzez udostępnione zasoby w sieci lokalnej. Do skutecznej replikacji wymagane jest udostępnienie całego dysku do zapisu
Na koniec robak rozpoczyna procedurę rozsyłania własnych kopii za pomocą poczty elektronicznej.
Ostacznie robak rozpoczyna nasłuchiwanie na porcie 36794 w oczekiwaniu na komendy, pozwalając w ten sposób na przejęcie kontroli nad komputerem ofiary poprzez sieć.
Opasoft- robak sieci lokalnych
removal tool / szczepionka (opasoft A-N): pobierz / downloadOpasoft jest robakiem, którego działanie polega na rozprzestrzenianiu się w sieci lokalnej oraz pobieraniu uaktualnień z internetu. Po aktywizacji robak tworzy swoją kopię na dysku w katalogu systemu Windows w pliku ScrSvr.exe oraz modyfikuje rejestr tak by jego kopia była uruchamiana przy każdym starcie systemu Windows.
W kolejnym etapie swego działania robak przeszukuje sieć lokalną w poszukiwaniu komputerów z udostępnionym pełnym dyskiem C: do zapisu. W przypadku odnalezienia takiego komputera robak tworzy na jego dysku swoją kopię w pliku C\Windows\Scrsvr.exe oraz modyfikuje plik win.ini dodając w nim wpis: run=c:\tmp.ini. Tworzony jest także plik tmp.ini zawierający następujące wywołanie: run= c:\windows\scrsvr.exe.
Robak posiada również możliwość pobierania ze strony internetowej swoich uaktualnień o nazwie Scrupd.exe.
Robak nie zawiera żadnych procedur destrukcyjnych, a jego działanie ograniczone jest do sieci lokalnych (nie rozsyła się za pośrednictwem poczty elektronicznej).
Opasoft.E
Po aktywizacji robak tworzy swoją kopię na dysku w katalogu systemu Windows w pliku Brasil.exe oraz modyfikuje rejestr tak by jego kopia była uruchamiana przy każdym starcie systemu Windows.
W kolejnym etapie swego działania robak przeszukuje sieć lokalną w poszukiwaniu komputerów z udostępnionym pełnym dyskiem C: do zapisu. W przypadku odnalezienia takiego komputera robak tworzy na jego dysku swoją kopię w pliku C:\windows\Brasil.exe oraz modyfikuje plik win.ini dodając w nim wpis: run=c:\tmp.ini. Tworzony jest także plik tmp.ini zawierający następujące wywołanie: run= c:\windows\brasil.exe.
Robak posiada również możliwość pobierania ze strony internetowej swoich uaktualnień.Nie zawiera żadnych procedur destrukcyjnych, a jego działanie ograniczone jest do sieci lokalnych (nie rozsyła się za pośrednictwem poczty elektronicznej).
19 kwietnia 2002 :
Klez.F, Klez.HJego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej, tworzeniu swoich kopii na dyskach sieciowych oraz infekowaniu plików wykonywalnych.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego.
W niezabezpieczonych programach Microsoft Outlook i Outlook Express obejrzenie tej wiadomości w podglądzie powoduje automatyczne uruchomienie pliku załącznika. W innym przypadku gdy użytkownik uruchomi plik załącznika robak tworzy własną kopię w katalogu systemowym Windows w pliku o losowej nazwie Wink[losowe znaki].exe oraz modyfikuje tak rejestr, by był uruchamiany przy każdym starcie systemu Windows.
W kolejnym etapie swojego działania robak stara się wyłączyć ochronę antywirusową wielu programów antywirusowych.
Następnie robak tworzy swoje kopie na lokalnych i zamapowanych dyskach sieciowych w plikach z losową nazwą i podwójnym rozszerzeniem oraz w plikach archiwów RAR'a z podwójnym rozszerzeniem.
Do wysyłania kopii robak używa własnego silnika SMTP, więc może rozsyłać się nawet z komputera gdzie nie ma zainstalowanego żadnego programu pocztowego.
Na koniec robak infekuje pliki wykonywalne tworząc ukryte, zaszyfrowane kopie oryginałów, a w ich miejsce tworząc własne kopie.
removal tool / szczepionka (I-Worm: BleBla.b; Navidad; Sircam; Goner; Klez A E F H, Elkern, Yaha/Lentin, Bugbear/Tanatos, Opasoft A-P, Avron A-E, LovGate, Fizzer, Magold A-E, Lovesan, Welchia, Sobig, Dumaru, SilentLog, Backdoor.Small.d, Swen, Afcore, Sober, Novarg/MydoomAB), Torvil.d, Moodown.b:
DOWNLOAD