W32/Klez-E

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

Lesen Sie bitte die Hinweise zum Entfernen von W32/ElKern und W32/Klez.

W32/Klez-E ist ein Win32-Wurm, der eine komprimierte Kopie des Virus W32/ElKern-B enthält, die er ablegt und ausführt, wenn der Wurm gestartet wird.

Dieser Wurm sucht nach E-Mail-Adressen im Adressbuch von Windows, aber er verwendet seine eigene Mailing-Routine.

Die E-Mail hat folgende Merkmale:

Betreffzeile: entweder zufällig oder aus der folgenden Liste ausgewählt:

How are you
Let's be friends
Darling
Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos!
japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
Spice girls' vocal concert
Japanese lass' sexy pictures

Text: Der Text der E-Mail wird zufällig von dem Wurm erstellt, jedoch kann die E-Mail auch gar keinen Text enthalten.

Attachment: zufällig benannt mit der Erweiterung .PIF, .SCR, .EXE oder .BAT.

Die Senderadresse in der E-Mail wird aus einer Liste innerhalb des Wurm ausgewählt.

W32/Klez-E versucht, verschiedene Antiviren-Produkte zu deaktivieren und einige antivirenbezogene Dateien zu löschen.

Der Wurm versucht, eine Schwachstelle von MIME in einigen Versionen von Microsoft Outlook, Microsoft Outlook Express und des Internet Explorers auszunutzen, so dass die ausführbare Datei automatisch gestartet wird, ohne dass der Anwender auf das Attachment doppelklickt. Microsoft hat ein Patch zur Verfügung gestellt, das vor dieser Schwachstelle schützt. Das Patch kann unter http://www.microsoft.com/technet/security/bulletin/MS01-027.asp heruntergeladen werden. (Dieses Patch schließt mehrere Schwachstellen in Software von Microsoft, einschließlich der, die dieser Wurm ausnutzt.)

W32/Klez-E kann sich ebenfalls auf nicht lokale Freigaben auf anderen Rechnern mit einem zufälligen Dateinamen verbreiten.

Er kopiert sich mit einem zufälligen Dateinamen in das Windows-Systemverzeichnis. Der Wurm setzt den Registrierungsschlüssel HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ so, dass auf die Wurmdatei verwiesen wird und die Datei bei jedem Start von Windows gestartet wird.

Am 6. März, Mai, September und November überschreibt der Wurm Dateien auf allen Laufwerken, die eine der folgenden Erweiterungen haben:

TXT
HTM
HTML
WAB
DOC
XLS
JPG
C
PAS
MPG
MPEG
BAK
MP3

Am 6. Januar und Juli überschreibt der Wurm alle Dateien auf allen Laufwerken.

Zusätzlich versucht der Wurm, Antiviren-Software zu deaktivieren, indem er jeden der folgenden Prozesse anhält:

_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR

und folgende Dateien löscht:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMART CHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT