W32/Klez-H

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

Lesen Sie bitte die Hinweise zum Entfernen von W32/ElKern-C und W32/Klez-H.

Hinweis: W32/Klez-H kann sich mit Hilfe einer gefälschten E-Mail-Adresse von Sophos verbreiten. Natürlich hat Sophos diese E-Mails nicht versandt und wurde von diesem Wurm nicht infiziert. Lesen Sie mehr darüber hier.

W32/Klez-H wird aufgrund einer generischen Erkennungsmethode von Sophos Anti-Virus, Version 3.55 und höher, als W32/Klez-G erkannt.

W32/Klez-H ist ein Win32-Wurm, der eine komprimierte Kopie des Virus W32/ElKern-C enthält, die er im Programme-Verzeichnis ablegt und ausführt.

W32/Klez-H kopiert sich mit einem zufällig gewählten Dateinamen in das Windows-Systemverzeichnis. Der Dateiname beginnt mit den Zeichen "wink" und hat die Erweiterung EXE.

Der Wurm sucht nach E-Mail-Adressen im Windows-Adressbuch und in Dateien mit den Erweiterungen TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 und PDF.

Als Sender enthalten die E-Mails entweder eine Adresse, die der Wurm bei seiner Suche gefunden hat oder eine Adresse aus der Liste innerhalb des Virus.

Der Wurm sendet sich an diese Adressen in E-Mails mit folgenden Merkmalen:

Betreffzeile:
Die Betreffzeile wird zufällig nach einer der folgenden Regeln erzeugt:

1.
Eine Kombination aus "Hi,", "Hello," "Re:", "Fw:" oder nichts

mit

"Very" und "special" als erstem Wort

und

"New", "funny", "nice", "humour", "excite", "good", "powful", "WinXP" und "IE 6.0" als zweitem Wort in einem der folgenden Sätze:

"A %s %s game."
"A %s %s tool."
"A %s %s website."
"A %s %s patch."
"%s %s Allhallowmas"
"%s %s Epiphany"

z. B. "A special powful tool"

2.
Eine Kombination aus "W32.Elkern" oder "W32.Klez.E" und "removal tools".

z. B. "W32.Klez.E removal tools"

3.
Ausgewählt aus der folgenden Liste:

how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
Sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures
Undeliverable mail --
Returned mail --

4.
Worm Klez.E immunity

Text:
Der Text der E-Mail wird von dem Wurm zufällig erstellt und kann auch leer sein.

Wenn die Betreffzeile "Worm Klez.E immunity" lautet, ist der Text der E-Mail folgender:
"Klez.E is the most common world-wide spreading worm. It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me."

Attachment:
Zufällig benannt mit der Erweiterung PIF, SCR, EXE oder BAT.

Da der Wurm seine eigene SMTP-Engine verwendet, kann es den Anschein nehmen, dass die E-Mail von einer beliebigen E-Mail-Adresse kommt. Einige der E-Mails haben ein Sender-Feld und einen Text, die vortäuschen, die E-Mail käme von einem führenden Antiviren-Hersteller (d. h. Kaspersky, F-Secure, Sophos, Symantec und Trend Micro).

Der SMTP-Server, der zum Versenden von E-Mails verwendet wird, stammt aus dem Wert "SMTP Server" des folgenden Registrierungsschlüssels:

HKCU\Software\Microsoft\Internet Account\Manager\Accounts

Wenn er E-Mails versendet, hängt W32/Klez-H unter Umständen eine zufällig gewählte Datei des infizierten Computers mit der Erweiterung TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 oder PDF an die E-Mails an. Dies bedeutet, dass der Wurm vertrauliche Firmendaten offenlegen kann.

W32/Klez-H versucht, verschiedene Antiviren-Softwareprodukte zu deaktivieren und einige mit dieser Software verbundene Dateien zu löschen.

Der Wurm versucht, eine MIME- und eine IFRAME-Schwachstelle in einigen Versionen von Microsoft Outlook, Microsoft Outlook Express und dem Internet Explorer auszunutzen, damit die ausführbare Datei automatisch gestartet wird, ohne dass der Anwender auf das Attachment doppelklicken muss. Microsoft hat ein Patch zur Verfügung gestellt, das unter Microsoft Security Bulletin MS01-027 heruntergeladen werden kann (dieses Patch ist neben den Schwachstellen, die von diesem Wurm ausgenutzt werden, für verschiedene weitere Schwachstellen in Software von Microsoft anwendbar).

W32/Klez-H kann sich mit zufällig gewählten Dateinamen auch über Netzwerkfreigaben auf andere Rechner übertragen. Die abgelegten Dateien können eine doppelte Erweiterung haben, die aus Kombinationen zufällig gewählter Erweiterungen aus den zwei folgenden Liste erzeugt werden. Die erste Erweiterung stammt aus der Liste:

TXT
HTM
HTML
WAB
ASP
DOC
RTF
XLS
JPG
CPP
C
PAS
MPG
MPEG
BAK
MP3
PDF

Die zweite Erweiterung stammt aus:

PIF
SCR
EXE
BAT

So kann die doppelte Erweiterung z. B. lauten: .txt.exe

W32/Klez-H fügt den Wert "wink<zufällig>" zum Run-Befehl der Registrierung hinzu, so dass die abgelegte Datei beim Start von Windows aktiviert wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Außerdem versucht der Wurm, Antiviren-Software zu deaktivieren, indem er jeden der folgenden Prozesse beendet:

_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR

und folgende Dateien löscht:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMART CHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT