WORM_KLEZ.H
W32.Klez.H@mm(Symantec), W32/Klez.h@MM(McAfee), Email-Worm.Win32.Klez.h(Kaspersky), W32/Klez-H(Sophos), W32/Elkern.C(Avira), W32/Klez.H@mm (exact)(F-Prot)
Windows 2000, Windows XP, Windows Server 2003
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
Ja
In the wild::
Ja
Überblick
Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden. Löscht Autostart-Registrierungseinträge im Zusammenhang mit den Prozessen, die sie beendet, um Anwendungen vollständig zu deaktivieren.
Sammelt Empfänger-E-Mail-Adressen aus dem Windows Adressbuch (WAB). Nutzt Software-Schwachstellen aus, um Anhänge automatisch auszuführen, sobald ein Benutzer Spam-Mails liest oder als Vorschau anzeigt. Dadurch können E-Mail-Anhänge einfach ausgeführt werden, ohne dass der Benutzter die besagten Anhänge öffnen muss.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System%\WINK{random alphabetic characters}.EXE
- %Temp%\{random alphabetic characters}{random digits}.EXE
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %Temp% ist der Windows Ordner für temporäre Dateien, normalerweise C:\Windows\Temp oder C:\WINNT\Temp.)
Autostart-Technik
Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Wink{random alphabetic characters}
ImagePath = "%System%\WINK{random alphabetic characters}.EXE" (if the operating system is Windows NT, 2000, or XP)
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Wink{random alphabetic characters} = "%System%\WINK{random alphabetic characters}.EXE" (if the operating system is Windows 95, 98 or ME)
Registriert sich als Systemdienst, damit die Ausführung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschlüssel hinzufügt werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Wink{random alphabetic characters} (if the operating system is Windows NT, 2000, or XP)
Andere Systemänderungen
Löscht die folgenden Dateien:
- ANTI-VIR.DAT
- CHKLIST.CPS
- CHKLIST.DAT
- CHKLIST.MS
- CHKLIST.TAV
- IVB.NTZ
- SMARTCHK.MS
Löscht Autostart-Registrierungseinträge im Zusammenhang mit den Prozessen, die sie beendet, um Anwendungen vollständig zu deaktivieren.
Verbreitung
Schleust Eigenkopien in die folgenden Freigabeordner ein:
- {random file name}.{random extension 1}.{random extension 2}
- {random file name}.RAR
Sucht nach verfügbaren SMTP-Servern durch Überprüfen der folgenden Registrierungseinträge:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts
Sammelt E-Mail-Adressen aus Datendateien im Zusammenhang mit den folgenden Instant-Messaging-Anwendungen:
- ICQ
Sammelt Empfänger-E-Mail-Adressen aus dem Windows Adressbuch (WAB).
Es werden Nachrichten als Teil der Spamming-Routine verfasst. Die Nachrichten, die versendet werden, haben die folgenden Details:
Sender: Taken from the gathered email addresses
Option 1:
- Subject: none
- Mail Body: none
Option 2:
- Subject: chosen from the following:
- congratulations
- darling
- eager to see you
- honey
- how are you
- introduction on ADSL
- japanese girl VS playboy
- japanese lass sexy pictures
- let's be friends
- look,my beautiful girl friend
- meeting notice
- please try again
- questionnaire
- so cool a flash,enjoy it
- some questions
- sos!
- spice girls vocal concert
- the Garden of Eden
- welcome to my hometown
- your password
The subject can be preceded by the following:- Hi,{user name},
- Hello,{user name},
- Re:
- Fw:
- Mail Body: none
Option 3:
- Subject: a {string 1} {string 2} game
- Mail Body:
A {string 1} {string 2} game
This is a {string 1} {string 2} game
This game is my first work.
You're the first player.
I expect you would enjoy it.
Option 4:
- Subject: {string 3} removal tools
- Mail Body:
{string 4} give you the {string 3} removal tools
{string 3} is a dangerous virus that can infect on Win98/Me/2000/XP.
For more information,please visit http://www.{string 4}.com
Option 5:
- Subject: could be any of the following:
- Undeliverable mail--"{random string}"
- 'Returned mail--"{random string}"
- Mail Body:
The following mail can't be sent to {spoofed email address}
From: {spoofed email address}
To: {spoofed email address}
Subject: {random string}
The file is the original mail
Option 6:
- Subject: Worm Klez.E immunity
- Mail Body:
Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me.
Option 7:
- Subject: {string 5} {string 6}
- Mail Body: random text
Option 8:
- Subject: could be any of the following:
- a {string 7} {string 7} tool
- a {string 7} {string 7} patch
where {string 7} could be any of the following:- excite
- funny
- good
- humour
- IE 6.0
- new nice
- powful
- W32.Elkern
- W32.Klez.E
- WinXP
- Mail Body: random text
Option 9:
- Subject: a {string 1} {string 2} website
- Mail Body:
This is {subject}
I {string 8} you would {string 9} it.
where {string 8} can be any of the following:- expect
- hope
- wish
{string 9} can be any of the following:- enjoy
- like
Option 10:
- Subject: chosen from existing files and folder names
- Mail Body: none
{string 1} is optional or could be any of the following:
- very
- special
- excite
- funny
- good
- humour
- new
- nice
- powful
- W32.Elkern
- W32.Klez.E
- F-Secure
- Kaspersky
- Mcafee
- Sophos
- Symantec
- Trendmicro
- Happy
- Have a
- All Souls Day
- Allhallowmas
- April Fools Day
- Assumption
- Candlemas
- Christmas
- Epiphany
- Lady Day
- New year
- Saint Valentine's Day
Nutzt die folgenden Software-Schwachstellen aus, um Anhänge automatisch auszuführen, sobald ein Benutzer eine Spam-Mail liest oder als Vorschau anzeigt:
Prozessbeendigung
Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:
- _AVPCC
- _AVPM
- ACKWIN32
- ALERTSVC
- AMON
- ANTIVIR
- Antivir
- AVCONSOL
- AVE32
- AVGCTRL
- AVP32
- AVPCC
- AVPM
- AVPTC
- AVPUPD
- AVWIN95
- CLAW95
- DVP95
- F-AGNT95
- F-PROT95
- FP-WIN
- F-STOPW
- IOMON98
- LOCKDOWN2000
- Mcafee
- N32SCANW
- NAV
- NAVAPSVC
- NAVAPW32
- NAVLU32
- NAVRUNR
- NAVW32
- NAVWNT
- NOD32
- Norton
- NPSSVC
- NRESQ32
- NSCHED32
- NSCHEDNT
- NSPLUGIN
- NVC95
- PCCWIN98
- SCAN
- SCAN32
- SWEEP95
- TASKMGR
- VET95
- VETTRAY
- VIRUS
- VSHWIN32
Einschleusungsroutine
Schleust die folgenden Dateien ein:
- %Program Files%\{random alphabetic characters}{random digits}.EXE - detected by Trend Micro as PE_ELKERN.D
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)
Lösungen
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
Malware-Dateien entfernen, die hinterlassen/heruntergeladen wurden von WORM_KLEZ.H
Step 3
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt. Achten Sie auf Dateien, die als WORM_KLEZ.H entdeckt werden
Step 4
Im abgesicherten Modus neu starten
Step 5
Diesen Registrierungswert löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- Wink{random alphabetic characters} = "%System%\WINK{random alphabetic characters}.EXE"
- Wink{random alphabetic characters} = "%System%\WINK{random alphabetic characters}.EXE"
Step 6
Diesen Registrierungsschlüssel löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- Wink{random alphabetic characters}
- Wink{random alphabetic characters}
Step 7
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als WORM_KLEZ.H entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Step 8
Diesen Sicherheits-Patch herunterladen und übernehmen Verwenden Sie diese Produkte erst, wenn die entsprechenden Patches installiert wurden. Trend Micro empfiehlt Benutzern, wichtige Patches nach der Veröffentlichung sofort herunterzuladen.
Nehmen Sie an unserer Umfrage teil