hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Erkannt von | Alle Sophos Produkte |
|---|---|
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zur Desinfektion von PE-Dateien.
Lesen Sie bitte die Hinweise zum Entfernen von W32/ElKern-C und
Weitere Informationen
Hinweis: Einige Kunden haben diesen Virus als Attachment einer E-Mail erhalten, die angeblich Desinfektionstools von Sophos für den Virus W32/Elkern enthält.
Sophos kann bestätigen, dass die infizierte Datei nicht von Sophos stammt und wir empfehlen Anwendern, nicht angeforderte ausführbare Attachments weder zu öffnen noch zu starten.
W32/Klez-G ist ein Wurm, der eine komprimierte Kopie des Virus W32/ElKern-B enthält, den er ablegt und beim Start des Wurms ausführt.
Dieser Wurm sucht nach E-Mail-Adressen im Windows-Adressbuch, jedoch verwendet er seine eigene Mailing-Routine.
Die E-Mail hat folgende Merkmale:
Betreffzeile: entweder zufällig oder aus folgender Liste ausgewählt:
How are you
Let's be friends
Darling
Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos!
japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
Spice girls' vocal concert
Japanese lass' sexy pictures
Text: Der Text der E-Mail wird zufällig von dem Wurm erzeugt, die E-Mail kann auch gar keinen Text enthalten.
Attachment: Zufällig benannt mit den Erweiterungen .PIF, .SCR, .EXE oder .BAT.
Die Senderadresse in der E-Mail wird aus einer Liste innerhalb des Virus ausgewählt.
W32/Klez-G versucht, verschiedene Antiviren-Produkte zu deaktivieren und einige Antiviren-bezogene Dateien zu löschen.
Der Wurm versucht, eine Schwachstelle von MIME in einigen Versionen von Microsoft Outlook, Microsoft Outlook Express und des Internet Explorers auszunutzen, so dass die Exe-Datei automatisch ausgeführt wird, ohne dass der Anwender auf das Attachment doppelklicken muss.
Microsoft hat ein Patch zur Verfügung gestellt, das diese Schwachstelle schließt. Das Patch kann unter folgender URL heruntergeladen werden: http://www.microsoft.com/technet/security/bulletin/MS01-027.asp.
(Dieses Patch schließt mehrere Schwachstellen in Software von Microsoft, darunter auch die Schwachstelle, die von diesem Wurm ausgenutzt wird.)
W32/Klez-G kann sich ebenfalls über Remote-Freigaben auf anderen Rechnern mit zufällig gewählten Dateinamen verbreiten.
Der Wurm kopiert sich mit einem zufällig gewählten Dateinamen in das Windows-Systemverzeichnis. Er setzt folgenden Registrierungsschlüssel:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
um auf die Wurmdatei zu verweisen, so dass die Datei bei jedem Start von Windows ausgeführt wird.
|
