Win32/Klez.worm.E - wer weiß...?

Dieses Thema im Forum "Sicherheit" wurde erstellt von skys, 13. April 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. skys

    skys Kbyte

    Registriert seit:
    1. November 2001
    Beiträge:
    258
    hallo !

    wer weiß, wo man ein tool zum entfernen des wurms bekommen kann ?

    Variante; Klez.e

    Alias: Stemdil

    Klez.e ist eine neue Variante, die am 17.01.2002 gefunden wurde. Der Autor bezeichnet sie als Version 2.0. Sie enthält einige
    neue Funktionen.

    1. Der Wurm installiert sich im Windows System-Verzeichnis unter dem Namen

    WINKxxx.EXE

    Dabei sind xxx 2 oder 3 zufällig gewählte Buchstaben. Er trägt einen Auto-Start Key für diese Datei in der Registry.

    2. Der Wurm besitzt nun auch Virus-Eigenschaften. Er infiziert EXE-Dateien, indem er seinen Code anhängt. Klez.e generiert
    eine temporäre Datei mit dem gleichen Namen, aber einer anderen Extension.

    Der Wurm verschlüsselt den Kopf von infizierten Dateien. Wird eine infizierte Datei aufgerufen, dekomprimiert er eine saubere
    Wirts-Datei mit dem gleichen Namen wie die infizierte Datei, die die Extension MP8 besitzt und aufgerufen wird. Folgende
    Dateien werden nicht infiziert:

    EXPLORER
    CMMGR
    MSIMN
    ICWCONN
    WINZIP

    3. Klez.e kann sich in Netzwerken ausbreiten. Er untersucht die Netzwerk Resourcen und kopiert jeweils zwei Exemplare
    seines Codes in Remote-Laufwerke. Ein Exemplar ist eine ausführbare Datei mit einer oder zwei Extensions. Die zweite Datei
    ist ein RAR-Archiv, das ebenfalls ein oder zwei Extensions besitzt. Der Namen der RAR-Archive wird der folgenden Liste
    entnommen:

    setup
    install
    demo
    snoopy
    picacu
    kitty
    play
    rock

    Die erste Extension wird der folgenden Liste entnommen:

    .txt
    .htm
    .html
    .wab
    .doc
    .xls
    .jpg
    .cpp
    .c
    .pas
    .mpg
    .mpeg
    .bak
    .mp3

    Die zweite Extension wird aus der folgenden Liste ausgewählt:

    .exe
    .scr
    .pif
    .bat

    Der Name des RAR-Archivs wird entweder zufällig gewählt oder von einer Datei, die sich auf dem betreffenden System
    befindet.

    4. Der Wurm sucht Tasks von Anti-Viren und Sicherheitsprogrammen ebenso wie andere MalWare wie Nimda, Sircam,
    Funlove und CodeRed. Klez.e sucht nach folgenden Zeichenketten:

    Sircam
    Nimda
    CodeRed
    WQKMM3878
    GRIEF3878
    Fun Loving Criminal
    Norton
    Mcafee
    Antivir
    Avconsol
    F-STOPW
    F-Secure
    Sophos
    virus
    AVP Monitor
    AVP Updates
    InoculateIT
    PC-cillin
    Symantec
    Trend Micro
    F-PROT
    NOD32

    Weiterhin beendet der Wurm folgende Prozesse:

    _AVP32 _AVPCC NOD32 NPSSVC NRESQ32 NSCHED32
    NSCHEDNT NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32
    NAVRUNR NAVW32 _AVPM ALERTSVC AMON AVP32
    AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD
    AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95
    ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98
    AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95
    CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton
    Mcafee Antivir TASKMGR

    5. Klez.e entfernt in der Registry Autostart Keys von Anti-Viren und Sicherheitsprogrammen. Dadurch können diese
    Programme beim nächsten Start von Window nicht mehr aktiv werden.

    6. Der Wurm manipuliert die Dateien von Prüfsummen-Programmen und Integrity Checkern, die einen der folgenden Namen
    tragen:

    ANTI-VIR.DAT
    CHKLIST.DAT
    CHKLIST.MS
    CHKLIST.CPS
    CHKLIST.TAV
    IVB.NTZ
    SMARTCHK.MS
    SMARTCHK.CPS
    AVGQT.DAT
    AGUARD.DAT

    7. Der Wurm besitzt einen Dropper für eine neue Variante von Elkern (Version 1.1).

    Der Wurm kann ausführbare Binär-Dateien und Daten-Dateien beschädigen.

    Der Wurm enthält folgenden Text, der nie angezeigt wird:

    Win32 Klez V2.0 Win32 Elkern V1.1,
    (There nick name is Twin Virus*^__^*)
    Copyright,made in Asia,announcement:
    1.I will try my best to protect the user from some vicious
    virus,Funlove,Sircam,Nimda,CodeRed and even include W32.Klez 1.X.
    2.Well paid jobs are wanted
    3.Poor life should be unblessed
    4.Don\'t accuse me.Please accuse the unfair sh*t world

    10. Infizierte E-Mails von Klez.e werden aus verschiedenen Teilen zusammengesetzt. Beispiele:

    The attachment is a very dangerous virus that spread trough e-mail
    The file is a special dangerous virus that can infect
    on Win98/Me/2000/XP.

    Abhängig vom Datum werden auch Grüße wie

    Happy Christmas
    Happy New Year

    eingefügt.

    Die Empfänger von infizierten E-Mails werden dem Windows Adressbuch und der ICQ-Datenbank entnommen.

    Der Wurm benutzt eine eigene SMTP-Routine.

    danke für schnelle tips !

    grüße, sky
     
  2. skys

    skys Kbyte

    Registriert seit:
    1. November 2001
    Beiträge:
    258
    danke ghost rider,

    spät reagiere, sorry.
    muß mir mal solche notfall-links zusammen stellen.

    dir wurmfreie zeit wünsche, sky
     
  3. skys

    skys Kbyte

    Registriert seit:
    1. November 2001
    Beiträge:
    258
    hi betasoft,

    sorry, daß ich mich so spät melde, dennoch vielen dank !
    interessanter link.
    grüße, sky
     
  4. skys

    skys Kbyte

    Registriert seit:
    1. November 2001
    Beiträge:
    258
    hi juve,

    danke :)
    den bitdefender gefunden hatte - sorry für späte antwort.

    grüße, sky
     
  5. Juve1106

    Juve1106 Halbes Megabyte

    Registriert seit:
    23. Juni 2001
    Beiträge:
    526
    High sky,

    schätze mal, daß du kein Problem mehr hast :)
    In weiser Voraussicht folgende Adresse besuchen

    http://www.bitdefender.com/html/free_tools.php

    All what you need...........

    Gruß Juve
     
  6. betasoft gmbh

    betasoft gmbh ROM

    Registriert seit:
    2. Mai 2002
    Beiträge:
    6
    Hallo, hier ist BETASOFT GmbH aus Augsburg.
    Wir hatten selbiges Problem.
    Gehe auf die Internetseite der http://www.tu-berlin.de
    dort mit Button "SUCHEN", anschließend Begriff "Virenscanner" eingeben. Als erstes Thema kommt Beschreibung KLEZ in den verschiedenen Varianten. Es sind 4 Firmen zur Bekämpfung angegeben, einem Programm (weiß ich jetzt nichtmehr) kannst Du direkt von der Seite der TU-Berlin den Virus finden und Entfernen. Das geht alles automatisch und natürlich kostenlos. OKAY

    Viele Grüße
    BETASOFT GmbH aus Augsburg
    Geschäftsleitung
     
  7. ghost rider

    ghost rider Megabyte

    Registriert seit:
    23. März 2002
    Beiträge:
    2.319
    Hallo sky,

    hier auch noch eine URL:

    http://www.trojanerinfo.de

    Da findest Du auch was zum Wurm.

    mfg ghostrider
     
  8. skys

    skys Kbyte

    Registriert seit:
    1. November 2001
    Beiträge:
    258
    vielen dank :)
    sorry für die späte reaktion.
    bei symantec hatte ich auch gesucht aber nichts gefunden.

    merci nochmals + grüße, sky
     
  9. anakin_x4

    anakin_x4 Megabyte

    Registriert seit:
    26. Juni 2001
    Beiträge:
    1.078
    http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.removal.tool.html
     
  10. Gast

    Gast Guest

    Hier z.B.:
    http://www.rokopsecurity.de/main/download.php?op=viewdownload&cid=3
    P.S.: Das nächste mal bitte nur ein Auszug der Beschreibung
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen