Und nochmal ich:
Der Virus ist relativ aktuell:
http://www.antivir.de/infos/index.html
Worm/Klez.E
alias W32/Klez.G, W32/Klez.H@mm
Die neue Variante des Worm/Klez kopiert sich als WINKxxx.EXE (’xxx’ = zufällig gewählte Buchstabenkombination) in das Windows Systemverzeichnis und legt folgenden Key in der Registry an:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Winkxxx=C:\Windows\System\Winkxxx.exe
Worm/Klez.E kopiert sich wahllos in verschiedene Verzeichnisse sowie Unterverzeichnisse auf allen lokalen Laufwerken, sowie alle gesharte Netzlaufwerken mit Schreib-/ Lesezugriff. Diese Dateien haben als Dateiextensions .EXE, .PIF, .COM, .SCR, .RAR, .SCR. In einigen Fällen erzeugt der Wurm auch Doppelextension z.B. “Dateiname.txt.exe“
Der Worm/Klez.E droppt einen neuen Virus in das Programme Verzeichnis (meist C:\Programme\) und führt diesen aus. Der Dateiname wird mit einer zufällig gewählten Buchstabenkombination erstellt. Bei dem Virus handelt es sich um einen Fileinfektor und wird mit der aktuellen VDF als W32/Elkern.C erkannt.
Klez.E versendet sich als Email mit Hilfe seiner eigenen SMTP Engine. Die Empfängeradressen erhält der Wurm aus Windows Adressbuch oder aus Dateien mit der Extension .HTM, .HTML, .DOC, .XLS, .BAT, .TXT, .SCR, .CPP, .C, .BAK. Die Betreffzeile einer solchen Email kann folgendermaßen aussehen:
powful
WinXP
IE 6.0
new
funny
nice
humour
excite
Symantec
Mcafee
F-Secure
Kaspersky
Sophos
Trendmicro
W32.Elkern
W32.Klez.E
Die Betreffzeile kann auch Variieren. So kann der Betreff der Email auch wie folgt aussehen:
a new new game
oder
nice path
oder
a powerful new website
oder
a IE 6.0
Worm/Klez.G erstellt eine HTML-Mail, die eine base64 enkodierte Kopie von sich selbst enhält. Beim Email-Empfang führt sich Klez.E aus, auch wenn dieser nicht aktiv geöffnet wird, sondern nur in der Vorschau angezeigt wird. Dies Betrifft I.E.-basierten E-Mail- Clients (z.B. Microsoft Outlook).
[Diese Nachricht wurde nachträglich bearbeitet.]
Heinz_Malcher
