hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Erkannt von | Alle Sophos Produkte |
|---|---|
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.
Lesen Sie bitte die Hinweise zum Entfernen von W32/ElKern und W32/Klez.
Weitere Informationen
W32/Klez-F ist eine Variante von W32/Klez-A.
Die Funktionalität von W32/Klez-F ähnelt stark W32/Klez-E.
Es handelt sich um einen Win32-Wurm, der eine komprimierte Kopie des Virus W32/ElKern-B enthält, die er ablegt und beim Start des Wurms ausführt.
Dieser Wurm sucht im Windows-Adressbuch nach E-Mail-Adressen, jedoch verwendet er seine eigene Mailing-Routine.
Die E-Mail hat folgende Merkmale:
Betreffzeile: zufällig aus Text im Wurmkörper und der folgenden Liste erstellt:
How are you
Let's be friends
Darling
Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos!
japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
Spice girls' vocal concert
Japanese lass' sexy pictures
Text: Der Text wird zufällig von dem Wurm erstellt, die E-Mail kann auch völlig ohne Text sein.
Attachment: Zufällige benannt mit den Erweiterungen .PIF, .SCR, .EXE oder .BAT.
Die Senderadresse, die in einer E-Mail erscheint, wird aus einer Liste ausgewählt, die im Virus enthalten ist.
Da der Wurm seine eigene SMTP Engine verwendet, gibt die E-Mail vor, von einer beliebigen E-Mail-Adresse zu stammen. Bei einigen E-Mails erwecken das Sender- und das Textfeld den Eindruck, die E-Mail könnte von einem Antiviren-Hersteller stammen.
Der Wurm versucht, eine Schwachstelle von MIME in einigen Versionen von Microsoft Outlook, Microsoft Outlook Express und des Internet Explorers auszunutzen, so dass die ausführbare Datei automatisch gestartet wird, ohne dass der Anwender auf das Attachment doppelklicken muss. Microsoft hat ein Patch zur Verfügung gestellt, das diese Schwachstelle schließt. Das Patch kann unter www.microsoft.com/technet/security/bulletin/MS01-027.asp heruntergeladen werden.
(Dieses Patch schließt mehrere Schwachstellen in Software von Microsoft, einschließlich der Schwachstelle, die dieser Wurm ausnutzt.)
W32/Klez-F kann sich mit zufälligen Dateinamen mit einer doppelten Erweiterung auch auf Remote-Freigaben auf anderen Rechnern ausbreiten. Auf den Remote-Freigaben erstellt der Wurm RAR-Archive und fügt sich selbst hinzu. Der Name der Wurmdatei in dem Archiv wird aus folgender Liste ausgewählt:
Setup
Install
Demo
Snoopy
Picacu
Kitty
Play
Rock
Er kopiert sich mit einem zufälligen Dateinamen in das Windows-Systemverzeichnis. Der Wurm setzt den Registrierungsschlüssel HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ so, dass auf die Wurmdatei verwiesen wird und die Datei beim Windows-Start ausgeführt wird.
Am 6. März, Mai, September und November überschreibt der Wurm Dateien mit folgenden Erweiterungen auf allen Laufwerken:
TXT
HTM
HTML
WAB
DOC
XLS
JPG
C
PAS
MPG
MPEG
BAK
MP3
Am 6. Januar und Juli überschreibt der Wurm alle Dateien auf allen Laufwerken.
Zusätzlich versucht der Wurm, Antiviren-Software zu deaktivieren, indem er alle der folgenden Prozesse beendet:
_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR
und indem er die folgenden Dateien löscht:
ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMART CHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT
|
