W32/Klez

Das eigentlich Gefährliche am Klez-Wurm ist die Tatsache, dass er den W98/Elkern-Virus [1] im Gepäck hat, der sich nach der Infektion im lokalen Netzwerk austobt und unter gewissen Bedingungen Dateien mit unbrauchbaren Daten überschreibt.

Der Klez-Wurm selber trifft in einer Mail ein, die eine von diesen Betreffzeilen enthält:

"Hi"

"Hello"

"How are you?"

"Can you help me?"

"We want peace"

"Where will you go?"

"Congratulations!!!"

"Don't cry"

"Look at the pretty"

"Some advice on your shortcoming"

"Free XXX Pictures"

"A free hot porn site"

"Why don't you reply to me?"

"How about have dinner with me together?"

"Never kiss a stranger"

Der Name der Beilage wird nach dem Zufallsprinzip gewählt. Die Absenderadresse ist gefälscht: Sie besteht entweder aus einem zufälligen Namen in Grossbuchstaben, der mit @yahoo.com, @hotmail.com oder @sina.com kombiniert wird oder aus einer Adresse, die der Wurm selber in einer Liste mitbringt.

Die Mail selber kommt im HTML-Format daher. In Mail-Programmen, die das HTML-Format anzeigen (z.B. Outlook und Outlook Express) sieht der Mail-Text leer aus. In anderen Mail-Programmen könnte dieser als Kommentar formatierte Text zu lesen sein:

"I'm sorry to do so,but it's helpless to say sorry.

I want a good job,I must support my parents.

Now you have seen my technical capabilities

How much my year-salary now? NO more than $5,500

What do you think of this fact?

Don't call my names,I have no hostility

Can you help me?"

Der Wurm versucht übrigens eine bekannte Sicherheitslücke zu nutzen, durch welche die Wurm-Beilage automatisch gestartet wird, ohne dass der Benutzer die Beilage selber öffnet. Installieren Sie den Patch [2], um diese Lücke im Internet Explorer 5.x zu schliessen.

Ausser per Mail verbreitet sich der Klez-Wurm auch übers Netzwerk weiter, indem er sich unter zufällig gewählten Dateinamen in freigegebene Ordner kopiert. Gemäss F-Secure [3] arbeite der Wurm mit dem Trick der doppelten Dateiendungen (z.B. TXT.EXE), um seine wahre Natur zu verbergen. Im System-Ordner des infizierten PCs werde zudem (gemäss Sophos [4]) eine Datei namens krn132.exe abgelegt. Diese Datei wird in diesem Registry-Schlüssel eingetragen, damit der Wurm bei jedem PC-Start geladen wird:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\krn132

Um eine Infektion zu vermeiden, installieren Sie unbedingt das oben erwähnte Update für den Internet Explorer und öffnen Sie keine unbekannten Mailbeilagen. Sollte sich der Wurm schon auf Ihrem PC eingenistet haben, aktualisieren Sie Ihren Virenscanner und lassen Sie ihn alle als infiziert gemeldeten Dateien löschen.

So entfernen Sie auch den Wurm-Eintrag in der Registry (bitte vorsichtig!):

1. Menü START/AUSFÜHREN, und REGEDIT eintippen

2. Im nun gestarteten Registry-Editor navigieren Sie zu diesem Schlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\

3. Klicken Sie den Schlüssel an, damit Sie in der rechten Fensterhälfte dessen Einträge sehen

4. Klicken Sie mit Rechts auf den KRN132-Eintrag und wählen Sie im Kontextmenü den Punkt LÖSCHEN.

5. Schliessen Sie den Registry-Editor wieder

Scannen Sie noch einmal Ihr System. Höchstwahrscheinlich ist es auch mit dem Elkern-Virus infziert, da dieser vom Klez-Wurm mitgebracht wird. Lesen Sie dazu die entsprechende Beschreibung (Link siehe unten).