W32/Klez.E (Variante)

Eher heimlich als schnell hat sich die Variante "E" des Klez-Virus [1] bei den Antivirus-Herstellern den ersten Platz in der Februar-Virenstatistik erobert. Seine weite Verbreitung hat er einer Sicherheitslücke des Microsoft Internet Explorers 5.x zu verdanken. Da viele Benutzer ein Mail-Programm verwenden, das den Internet Explorer für die Anzeige von HTML-formatierten Mails braucht (z.B. Outlook, Outlook Express), reicht schon das Lesen der Viren-Mail für eine Ansteckung mit diesem Schädling. Installieren Sie mindestens den Internet Explorer 5.01 SP2 bzw. 5.5 SP2 (SP2 = Service Pack 2), damit Sie vor dieser Sicherheitslücke [2] geschützt sind.

Eindeutige Kennzeichen der E-Mail zu beschreiben, mit der sich Klez.E verbreitet, ist fast ein Ding der Unmöglichkeit. Die Absender-Adresse ist meist gefälscht und stammt aus dem Adressenfundus des tatsächlichen Absenders. Wie in der Beschreibung von NAI (McAfee) zu lesen ist, erscheint jedoch die echte Absender-Adresse im E-Mail-Header, sofern Ihr Mail-Programm ein Anzeigen der kompletten Kopfzeilen erlaubt. Auch beim Betreff gibt's eine Vielzahl von Variationen, siehe z.B. in den Beschreibungen des Kaspersky Labors [3] oder von NAI [4].

Der Mail-Text kann leer sein oder aus vielen zufällig gewählten Wörtern und Begriffen bestehen. Ein deutliches Indiz für das Vorliegen einer Klez-Mail wäre etwa, wenn der Mail-Text keinen Sinn ergibt. Allerdings fanden sich auch schon normale Sätze in solchen Klez-Mails.

Leider hat der unfreundliche Virenschreiber auch beim Beilagen-Namen ganze Arbeit geleistet. Fest steht, dass es sich entweder um eine Datei mit Endung EXE, BAT, PIF oder SCR handelt - teils mit einer doppelten Endung wie z.B. .DOC.PIF oder .JPG.SCR kaschiert. Ansonsten wird der Name zufällig generiert.

Der Klez.E-Wurm kopiert sich unter einem Namen, der mit "wink" anfängt und eine EXE-Endung trägt, in den Windows System-Ordner (z.B. C:\Windows\System\winkad.exe oder winkidt.exe). Diese Datei trägt er in der Windows Registry ein, damit sie bei jedem Windows-Start automatisch mitgeladen wird. Der Eintrag befindet sich dann in einem dieser beiden Registry-Zweige:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Dann durchsucht der Virus die Windows Registry nach Infos über installierte Programme und deren Installationsordner. Anhand dieser Informationen versucht er die Programmdateien zu infizieren, die er findet.

Beim Anstecken dieser Dateien geht Klez.E so vor: Er legt Dateien an, die gleich heissen wie die infizierten EXE-Dateien, versieht sie mit einer zufälligen Endung und mit den Datei-Attributen "schreibgeschützt", "versteckt" und "system". Wird später ein infiziertes Programm gestartet, entpackt er die Original-Datei mit der zusätzlichen Endung MP8 in einen temporären Ordner und startet sie. Wird das Programm wieder geschlossen, entfernt der Virus die temporäre Datei wieder. Dies ist als Versuch des Virus zu werten, seine Aktivität zu vertuschen.

Findet Klez.E auf der Festplatte Archive, die mit dem RAR-Format komprimiert sind, fügt er diesen infizierte Dateien mit unterschiedlichen Namen hinzu. Letzteres ist ziemlich gemein: Werden RAR-Dateien vom Virenscanner nicht geprüft, riskiert der Besitzer dieser Dateien eines Tages eine neue Infektion seines PCs.

Die Verbreitung an weitere mögliche Klez-Opfer erfolgt via E-Mail an die Einträge des Windows Adressbuchs. Wie die Ur-Variante ist auch Klez.E fähig, sich zusätzlich noch über Netzwerk-Freigaben zu verbreiten (gemäss Sophos [5])

Schäden:

Das reine Infizieren von Dateien und "Sich-Vermehren" reicht Klez.E leider noch längst nicht. Er pflegt auch Virenscanner zu deaktivieren, sofern diese nicht auf den neuesten Stand waren (aktualisierte Virenscanner stoppen ihn meist vorher). Auch löscht Klez.E einige Dateien und Registry-Einträge, die zu Antivirusprogrammen gehören. Aufgrund der Infektion funktionieren auch viele andere Programme nicht mehr richtig und es ist mit einigen Fehlermeldungen und einer beträchtlichen Verlangsamung des Systems zu rechnen.

Und genau wie in der ersten bekannten Klez-Variante pflanzt die "E"-Version bisweilen einen weiteren Bösewicht ins System, nämlich eine neue Variante des Elkern-Virus [6]. Zum Schluss hat Klez.E auch noch einen zeitgesteuerten Schadensteil, der Dateien auf der Festplatte und auf verbundenen Netzlaufwerken mit Nullen überschreibt und somit unbrauchbar macht: Am jeweils 6. Tag der Monate März, Mai, September und November sind Dateien mit den Endungen .txt, .htm, .html, .wab, .doc, .xls, .jpg, .cpp, .c, .pas, .mpg, .mpeg, .bak und .mp3 betroffen und am 6. Tag der Monate Januar und Juli angeblich sogar *alle* Dateien. Allerdings habe man letzteres (gemäss McAfee-Beschreibung) im Labor nicht beobachten können.

Bei Kaspersky [7] und F-Secure [8] wird ein Hilfsprogramm angeboten, um den Virus zu entfernen. Jenes von Kaspersky verwenden Sie so:

1. Laden Sie die Datei clrav.com herunter, ev. nicht mit dem infizierten PC (Datei passt auf eine Diskette)

2. Trennen Sie den infizierten PC vom Netzwerk.

3. Kopieren Sie die clrav.com auf den infizierten PC, z.B. gleich in die oberste Ebene der Festplatte C:\ (z.B. C:\clrav.com).

4. Starten Sie die Datei clrav.com (durch Doppelklick)

Sollte das Programm "Nothing to clean" melden ("nichts zu säubern"), öffnen Sie ein DOS-Fenster (Start/Programme/Zubehör/MS-DOS-Eingabeaufforderung). Und tippen Sie folgendes hinein (sofern die Datei clrav.com jetzt in C:\ liegt):

C:\clrav.com /scanfiles

5. Starten Sie Ihren PC neu, und zwar in den abgesicherten Modus.

6. Führen Sie clrav.com erneut aus

7. Installieren Sie Ihr Antivirusprogramm neu (der Virus hat es deaktiviert und daraus einige Dateien gelöscht)

8. Führen Sie umgehend ein Update des Antivirusprogramms durch

9. Scannen Sie mit dem frisch aktualisierten Virenscanner alle Laufwerke. Vermutlich wird es auch den Elkern-Virus entdecken. Hierzu finden Sie unten einen Link mit der Beschreibung.

10. Ist der PC fertig desinfiziert und sind nach ein paar Tagen keine weiteren infizierten Dateien auf Ihrem PC oder in Ihrem Netzwerk aufgetaucht, können Sie die Datei clrav.com wieder löschen.