Die neue Variante des Worm/Klez kopiert sich als WINKxxx.EXE (’xxx’ = zufällig gewählte Buchstabenkombination) in das Windows Systemverzeichnis und legt folgenden Key in der Registry an:
Worm/Klez.E kopiert sich wahllos in verschiedene Verzeichnisse sowie Unterverzeichnisse auf allen lokalen Laufwerken, sowie alle gesharte Netzlaufwerken mit Schreib-/Lesezugriff. Diese Dateien haben als Dateiextensions .EXE, .PIF, .COM, .SCR, .RAR, .SCR. In einigen Fällen erzeugt der Wurm auch Doppelextension z.B. “Dateiname.txt.exe“
Der Worm/Klez.E droppt einen neuen Virus in das Programme Verzeichnis (meist Crogramme) und führt diesen aus. Der Dateiname wird mit einer zufällig gewählten Buchstabenkombination erstellt. Bei dem Virus handelt es sich um einen Fileinfektor und wird mit der aktuellen VDF als W32/Elkern.C erkannt.
Klez.E versendet sich als Email mit Hilfe seiner eigenen SMTP Engine. Die Empfängeradressen erhält der Wurm aus Windows Adressbuch oder aus Dateien mit der Extension .HTM, .HTML, .DOC, .XLS, .BAT, .TXT, .SCR, .CPP, .C, .BAK. Die Betreffzeile einer solchen Email kann folgendermaßen aussehen:
Die Betreffzeile kann auch Variieren. So kann der Betreff der Email auch wie folgt aussehen:
a new new game
oder
nice path
oder
a powerful new website
oder
a IE 6.0
Worm/Klez.G erstellt eine HTML-Mail, die eine base64 enkodierte Kopie von sich selbst enhält. Beim Email-Empfang führt sich Klez.E aus, auch wenn dieser nicht aktiv geöffnet wird, sondern nur in der Vorschau angezeigt wird. Dies Betrifft I.E.-basierten E-Mail-Clients (z.B. Microsoft Outlook).
"Norton Anti Virus 2002" erkennt und isoliert diesen unangenehmen Wurm automatisch, zeigt dies auch an. Dieser "W32.Klez.H@mm" ist momentan sehr verbreitet und taucht bei mir mindestens 1 mal pro Tag in irgendwelchen Massenmails auf. Es gibt auch ein Tool "dagegen", ich suche gerade noch und schreibe hier dann den Link hinein.
Ich habe den FixKlez schon selbst angewendet, er funktioniert einwandfrei und ist kostenlos. Ebenso FixGoner und AntiNimbda. Ihr müßt euch nur ganz genau an die jeweilige Anleitung halten. ........................................................... Zum Wurm selbst auch von mir noch ein paar gesammelte Infos:
Art: Massenmailer-Wurm. Betriebssystem: Microsoft Windows . Verbreitung: mittel. Risiko: bei Ausführung des Attachments: mittel. Schadensfunktion: Beenden von verschiedenen Viren-Schutzprogrammen. bekannt seit: April 2002. Tools: Entfernungs-Programm FixKlez (kostenlos). W32.Klez.H@mm ist eine modifizierte Form von W32.Klez.E@mm. Diese Variante ist in der Lage sich über Netzwerkfreigaben zu verbreiten. Außerdem können Dateien infiziert werden.
Bei der Verbreitung über E-Mail nutzt er eine Sicherheitslücke in Microsoft Outlook und Outlook Express. Mit dieser Sicherheitslücke wird der Wurm sofort aktiviert, wenn die E-Mail gelesen wird, oder wenn die AutoVorschau aktiviert ist. Der Wurm sucht nach E-Mail-Adressen im Windows Adressbuch, in der ICQ-Datenbank und in lokalen Dateien. Die Betreffzeile der E-Mail ist zufällig:
Undeliverable mail--"[Random word]" Returned mail--"[Random word]" a [Random word] [Random word] game a [Random word] [Random word] tool a [Random word] [Random word] website a [Random word] [Random word] patch [Random word] removal tools how are you let's be friends darling so cool a flash,enjoy it your password honey some questions please try again welcome to my hometown the Garden of Eden introduction on ADSL meeting notice questionnaire congratulations sos! japanese girl VS playboy look,my beautiful girl friend eager to see you spice girls' vocal concert japanese lass' sexy pictures
Dabei ist [Random word] eines der folgenden Worte:
new funny nice humour excite good powful WinXP IE 6.0 W32.Elkern W32.Klez.E Symantec Mcafee F-Secure Sophos Trendmicro Kaspersky
Der Nachrichtentext der E-Mail ist zufällig. Der Name der angehängten Datei ist ebenfalls zufällig. Verbreitung über freigegebene Lauferke: W32.Klez.H@mm kopiert sich mit einem zufälligen Dateinamen auf freigegebene Laufwerke. Er verwendet dabei zwei Erweiterungen (z.B. Dateiname.txt.exe). Wird diese Datei ausgeführt, wird der entsprechende Rechner infiziert. Infektion von Dateien: Zuerst wird eine versteckte Kopie der Originaldatei angelegt. Diese ist verschlüsselt. Danach wird die Originaldatei mit dem Viruscode überschrieben.
Wird der Wurm aktiviert, kopiert er sich mit dem Namen Wink.exe in das Systemverzeichnis von Windows. Das Systemverzeichnis ist bei verschiedenen Windows Betriebssystemen unterschiedlich (C:WindowsSystem, C:WinntSystem32, ...)
In der Registry werden verschiedene Schlüssel eingetragen, mit denen Klez.H beim Systemstart aktiviert wird:
Weiterhin versucht der Wurm verschiedene Prozesse von Viren-Schutzprogrammen zu beenden; ebenso die von den Viren W32.Nimda und CodeRed. Er verhindert den Start von Anti-Virusprogrammen und löscht deren Checksummendateien:
Viren-Schutzprogramme erkennen W32.Klez.H@mm ab April 2002.
Entfernungs-Programm: Von Symantec wird ein spezielles Entfernungs-Programm für W32.Klez.H@mm zum kostenlosen Download bereitgestellt.
Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Erweiterung COM, EXE, BAT) oder anderer Dateien, die Programmcode enthalten können (Erweiterung DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird. ............................................................
Bei meinem Windows-PC schützte ich mich mit "Norton Anti Virus 2002", dieses Programm erkennt und isoliert den Wurm. Beim Linux-PC habe ich damit keine Probleme.
Vielen Dank für die Bereitstellung des Links. Ich persönlich hatte dieses Tool schon mal auf meinem Rechner und habs vor 3 Wochen gelöscht weil ich's nicht gebraucht habe. Man kann ja nicht alles aufheben Habe gestern den Klez geöffnet weil er als Absender meine E-Mail Adr. hatte Die Nacht ging dann gar nicht's mehr am Rechner. Bin mit AntiVir drüber er hat 28 Viren gefunden und gelöscht und ich glaubte es hat sich erledigt.Habe vorhin mit Fixklez geprüft und es waren immer noch welche drauf. Erst beim zweiten Durchlauf war dann nix mehr.
das fiese an dem Ding: der Wurm setzt die Virenschutz-Software teilweise oder ganz ausser Funktion. Das mußt du bedenken !
Bei den meisten Virenschutzprogrammen wird empfohlen ( vom Hersteller selbst ), nach dem Entfernen eines W32.Klez die Virenschutz-Software NEU zu installieren. Bei "Norton AntiVirus 2002" weiss ich das mit Sicherheit, ich mußte es selbst schon tun - und es hat auch funktioniert. Seitdem werden die Biester vom Programm verschreddert.
Nach Empfang und endgültiger Löschung einer seltsamen Mail, will dauernd ein Programm namens "winkfl.exe" ins Internet, was meine firewall aber verhindert. Ist das ein normales Programm, oder hat mir das jemand reingeschmuggelt ? (Dann tät ichs löschen.) Es hat 86 kb und war als versteckt, Archiv und schreibgeschützt attribuiert.
Falls jemand was hilfreiches weiss, würde ich mich freuen.
Hi-Burkhard, ich hoffe Dir mit dem Link weiterhelfen zu können.http://www.zdnet.de/itsupport/virencente...17zd_01-wc.html Schätze mal es ist eine Version des Klez. Dazu obiger Link von Tommie. Aber ganz sicher bin ich mir nicht. mir hat das Tool geholfen.(fixklez) Aber genau nach Anweisung ausführen.(abges.Modus)
diese "winkfl.exe" scheint ein Tool zu sein, das sich installieren will. Ich habe meine PC' s danach durchsucht und sie nicht gefunden. Am besten gehst du folgendermassen vor: durchsuche deinen PC mit Hilfe der "Start-Suchen-Nach Dateien.." nach dieser Datei. Falls sie nur im Mailordner und/oder in den Temp.Files auftaucht, dann löschen. Prinzipiell würde ich dir raten, Dateien, die sich auf einmal von selbst installieren möchten zu löschen. So mache ich das jedenfalls. Es handelt sich dabei entweder um nutzloses Zeugs oder Würmer.
Nachtrag: Der neue Computerwurm WORM_KLEZ.G ist eine Variante des bereits bekannten Massmailers WORM_KLEZ.A. Die aktuell kursierende Version unterscheidet sich durch die vorhergehenden dadurch, dass sie bei Ausführung des Attachments eine Kopie von sich namens "WINK*.EXE" im Windows Systemverzeichnis schreibt.
Auf jeden Fall den FixKlez verwenden, die Datei NICHT ausführen !!!
Dank für den Tipp. ... Ja genau, ins Windows-System hat sich die Datei gehängt. Nicht ausführen ... hm, tja, ich denke, die führt sich dauernd selbst aus. Sie will ja auch "nach draussen telefonieren" nur mein wall lässt sie nicht. Einfaches Löschen geht nicht (da permanent "in Gebrauch"). Werde jetzt die Empfohlenen Massnahmen treffen.
Noch'n Tipp Scheint wieder alles sauber zu sein. Im Momment ja. Hatte auch alles sauber, doch trotzdem hatte ich glaube noch 4 Mails mit Klez. Hab sie natürlich sofort gelöscht, aber er wird es wieder versuchen da er Deine Adresse hat.Ich z.B. bin drauf reingefallen als ich eine Mail bzw. Anhang geöffnet habe die meinen eigenen Absender trug.Im übrigen verfahre ich so: Einmal "Fixklez" drüber, Rechner booten und nochmal drüber bis die Meldung erscheint: Neither W32.klez gen......were fond your com Vieleicht hilft's cia Reiner
Sie sind vermutlich noch nicht im Forum angemeldet - Klicken Sie hier um sich kostenlos anzumelden
Saufnix-Chat
0
Offline
rogramme) und führt diesen aus. Der Dateiname wird mit einer zufällig gewählten Buchstabenkombination erstellt. Bei dem Virus handelt es sich um einen Fileinfektor und wird mit der aktuellen VDF als W32/Elkern.C erkannt.
Habe gestern den Klez geöffnet weil er als Absender meine E-Mail Adr. hatte
Seitdem werden die Biester vom Programm verschreddert. 
