Antivirus and Security Software from Sophos

Blogs

W32/Klez-B

Kategorie
Typ
Vorgehensweise
Verbreitung niedrig hoch

Übersicht

 
Erkannt von Alle Sophos Produkte
Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Maßnahme

Weitere Informationen

W32/Klez-B ist eine leichte Variante des Wurms W32/Klez-A. Er enthält eine komprimierte Kopie des Virus W32/ElKern-A, den er ablegt und ausführt, sobald der Wurm gestartet wird.

Dieser Wurm sendet sich an Einträge im Windows-Adressbuch und erscheint in einer E-Mail mit einem Subject, das aus folgender Liste ausgewählt wird:

"Hi"
"Hello"
"How are you?"
"Can you help me?"
"We want peace"
"Where will you go?"
"Congratulations!!!"
"Don't cry"
"Look at the pretty"
"Some advice on your shortcoming"
"Free XXX Pictures"
"A free hot porn site"
"Why don't you reply to me?"
"How about have dinner with me together?"
"Never kiss a stranger"

Das Attachment hat einen zufällig gewählten Dateinamen, und die Senderadresse ist entweder ein Name aus Großbuchstaben bei yahoo.com, hotmail.com oder sina.com. oder stammt aus einer Liste, die in dem Virus enthalten ist, gewählt.

Der Text der E-Mail wird im HTML-Format gesendet und lautet:

"I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities
How much my year-salary now? NO more than $5,500
What do you think of this fact?
Don't call my names,I have no hostility
Can you help me?"

Der Wurm versucht, eine Schwachstelle in MIME in einigen Versionen von Microsoft Outlook, Microsoft Outlook Express und Internet Explorer auszunutzen, damit die ausführbare Datei automatisch ausgeführt, ohne dass der Anwender auf das Attachment doppelklicken muss. Microsoft hat ein Patch zur Verfügung gestellt, das diese Schwachstelle schließt. Das Patch kann auf der folgenden Webseite heruntergeladen werden: http://www.microsoft.com/technet/security/bulletin/MS01-027.asp
(Dieses Patch schließt zahlreiche Schwachstellen in Software von Microsoft einschließlich der Schwachstelle, die von diesem Wurm ausgenutzt wird.)

Der Wurm kopiert sich auf nicht lokale Freigaben auf Rechnern mit zufällig gewählten Dateinamen. Er kopiert sich weiterhin als krn132.exe in das Windows-Systemverzeichnis und setzt den Registry Key

HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\krn132

so, dass er auf diese Datei verweist.

RSS|Atom
Berichte über die neuesten Viren- und Spyware-Threats direkt auf Ihrem Computer