Antivirus and Security Software from Sophos

Blogs

W32/Klez-D

Kategorie
Typ
Vorgehensweise
Verbreitung niedrig hoch

Übersicht

 
Erkannt von Alle Sophos Produkte
Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Maßnahme

Weitere Informationen

W32/Klez-D ist eine leichte Variante des Wurms W32/Klez-A. Er enthält eine komprimierte Variante des Virus W32/ElKern-A, die er ablegt und ausführt, sobald der Wurm gestartet wird.

Der Wurm sendet sich an Einträge im Windows-Adressbuch und erscheint in einer E-Mail mit einem Subject, das aus der folgenden Liste ausgewählt wird:

"Hi"
"Hello"
"How are you?"
"Can you help me?"
"We want peace"
"Where will you go?"
"Congratulations!!!"
"Don't cry"
"Look at the pretty"
"Some advice on your shortcoming"
"Free XXX Pictures"
"A free hot porn site"
"Why don't you reply to me?"
"How about have dinner with me together?"
"Never kiss a stranger"

Das Attachment hat einen zufällig gewählten Dateinamen und die Senderadresse ist entweder ein zufällig gewählter Name in Großbuchstaben bei yahoo.com, hotmail.com oder sina.com oder aus einer Liste innerhalb des Virus ausgewählt.

Der Text der E-Mail wird im HTML-Format gesandt und lautet:

"I'm sorry to do so,but it's helpless to say sorry. I want a good job,I must support my parents. Now you have seen my technical capabilities How much my year-salary now? NO more than $5,500 What do you think of this fact? Don't call my names,I have no hostility Can you help me?"

Der Wurm versucht eine Schwachstelle von MIME in einigen Versionen von Microsoft Outlook, Microsoft Outlook Express und Internet Explorer auszunutzen, damit die ausführbare Datei automatisch gestartet wird, ohne dass der Anwender auf das Attachment doppelklicken muss. Microsoft hat ein Patch zur Verfügung gestellt, mit dem diese Schwachstelle geschlossen werden kann. Das Patch kann unter folgender URL heruntergeladen werden: http://www.microsoft.com/technet/security/bulletin/MS01-027.asp
(Dieses Patch schließt zahlreiche Schwachstellen in Software von Microsoft einschließlich der Schwachstelle, die von diesem Wurm ausgenutzt wird.)

Der Wurm kopiert sich in nicht lokale Freigaben auf anderen Rechnerne mit zufällig gewählten Dateinamen. Er kopiert sich weiterhin als winsvc.exe in das Windows-Systemverzeichnis und setzt den Registry Key so

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinSvc

dass auf den Wurm verwiesen wird.

RSS|Atom
Berichte über die neuesten Viren- und Spyware-Threats direkt auf Ihrem Computer