Antivirus and Security Software from Sophos

Blogs

W32/Klez-C

Kategorie
Typ
Vorgehensweise
Verbreitung niedrig hoch

Übersicht

 
Erkannt von Alle Sophos Produkte
Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Maßnahme

Weitere Informationen

W32/Klez-C ist eine leichte Variante des Wurms W32/Klez-A. Er enthält eine komprimierte Kopie des Virus W32/ElKern-A, die er ablegt und ausführt, wenn der Wurm aktiviert wird.

Der Wurm sendet sich an Einträge im Windows-Adressbuch und erscheint in einer E-Mail mit einem Subject das aus folgender Liste ausgewählt wird:

"Hi"
"Hello"
"How are you?"
"Can you help me?"
"We want peace"
"Where will you go?"
"Congratulations!!!"
"Don't cry"
"Look at the pretty"
"Some advice on your shortcoming"
"Free XXX Pictures"
"A free hot porn site"
"Why don't you reply to me?"
"How about have dinner with me together?"
"Never kiss a stranger"

Das Attachment hat einen zufällig gewählten Dateinamen und die Senderadresse ist entweder ein zufällig gewählter Name aus Großbuchstaen bei yahoo.com, hotmail.com oder sina.com oder aus einer Liste innerhalb des Virus gewählt.

Der Text der E-Mail wird im HTML-Format gesendet und lautet folgendermaßen:

"I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities
How much my year-salary now? NO more than $5,500
What do you think of this fact?
Don't call my names,I have no hostility
Can you help me?"

Der Wurm versucht, eine MIME-Schwachstelle in einigen Versionen von Microsoft Outlook, Microsoft Outlook Express und Internet Explorer auszunutzen, damit so die ausführbare Datei automatisch ausgeführt wird, sobald doppelt auf das Attachment geklickt wird. Microsoft hat ein Patch zur Verfügung gestellt, das diese Schwachstelle schließt. Das Patch kann unter http://www.microsoft.com/technet/security/bulletin/MS01-027.asp heruntergeladen werden.
(Dieses Patch schließt zahlreiche Schwachstellen in Software von Microsoft einschließlich der Schwachstelle, die von diesem Wurm ausgenutzt wird.)

Der Wurm kopiert sich mit zufälligen Dateinamen auf nicht lokale Freigaben auf anderen Rechnern. Er kopiert sich ebenfalls in das Windows- Systemverzeichnis als krn132.exe und setzt den Registry Key

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\krn132

so dass dieser auf diese Datei verweist.

RSS|Atom
Berichte über die neuesten Viren- und Spyware-Threats direkt auf Ihrem Computer