News 19.04.2002, 15:00 Uhr

W32/Klez.H (Variante)

Wieder einmal wurde eine sich schnell verbreitende Variante des Klez-Virus entdeckt.
Vom Klez-Virus [1], von dem erste Exemplare gegen Ende 2001 auftauchten, wurde wieder eine neue Variante entdeckt, die von Antivirus-Herstellern unterschiedlich benannt wird. Bei Kaspersky [2], F-Secure [3], NAI [4] und Symantec [5] wurde ihm der Varianten-Buchstabe "H" zugeordnet, Norman [6] kennt ihn als Variante "G" und bei Panda [7] läuft er offenbar unter "I".
In vielen Punkten ähnelt diese Variante den früheren Versionen: Auch Klez.H nutzt eine Sicherheitslücke des Internet Explorers aus, um die schädliche Beilage automatisch zu starten, sobald der Mailempfänger die unliebsame Virenmail liest. Die Sicherheitslücke wird aber mit dem schon lange verfügbaren SP2 (Service Pack 2) des Internet Explorers 5.5 gestopft - oder mit dem separat erhältlichen Patch [8]. Die Absender-Adresse (im "From"-Feld der Mail) ist meist gefälscht.
Betreff und Mail-Text sind zufällig gewählt und können auf den ersten Blick durchaus seriös aussehen, z.B. "1996 Microsoft Corporation", "Editor of PC Magazine." oder "Telephone number". In mindestens einer solchen Mail gibt sich der Schädling offenbar selber als eine Art Antivirus-Programm aus:
Betreff: Worm Klez.E Immunity
Mailtext: "Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV
software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me."
Auch bei der Beilage sind verschiedene Namen möglich, z.B. ALIGN.pif, User.bat oder line.bat.
Der Wurm mailt sich selber an alle Adressen im Windows Adressbuch und an solche, die er in anderen Dateien auf der Festplatte des Benutzers findet, etwa in der ICQ-Kontaktliste. Zusätzlich kopiert er sich auf verfügbare Netzlaufwerke, ebenfalls mit zufälligen Dateinamen, oft mit doppelten Endungen. Beispiele: 350.bak.scr, bootlog.jpg.exe, user.xls.exe
Auch legt er Kopien von sich in RAR-komprimierten Dateien ab, beispielsweise mit diesen Namen: HREF.mpeg.rar, HREF.txt.rar, lmbtt.pas.rar
Klez.H-Schäden:
Weniger destruktiv als die Variante E, begnügt sich Variante H mit folgendem: Der Virus legt versteckte und verschlüsselte Kopien von ausführbaren Dateien an und überschreibt die Originale mit seinem eigenen Programmcode. Klez kann Programme oder z.B. Virenscanner, die im Hintergrund laufen, deaktivieren. Dies gelingt ihm aber nur, wenn er vom einem seriös aktualisierten Virenscanner nicht schon vorher aufgespürt und blockiert wurde.
In unserer Beschreibung der Klez-Variante "E" [9] finden Sie Links und Anweisungen zum Entfernen von Klez mit Hilfe des kostenlosen Kasperksy-Programms CLRAV.COM.



Kommentare
Es sind keine Kommentare vorhanden.