Moin leute! Im moment is wohl der klez bei uns aktiv...
Unter meiner email adresse wurde wohl viel versendet...
Norton AV findet bei mir nix... vermute aber mal, dass es der klez sein wird.... die symtome deuten darauf hin.
habe vorsorglich meinen rechner erstmal vom netz genommen. der muß eh neu installiert werden.
Sorry, dass ihr mit meinem adressbuch genervt wurdet...
aber schreibt der birte doch mal nen netten brief... is n nettes mädel... und sie freut sich sicher
ok. that was it then...
Phil
PS: btw.... habe eure mail adressen größtenteils nicht in meinem adressbuch...
ZitatAlles anzeigenKlez-Wurm verbreitet gefährlichen Chernobyl-Virus
Neuste Mutation des Erregers frischt alte Wunden wieder auf / Eine der größten Epidemien bisher
07. Mai 2002, 13:33 Uhr
Von David Becker und Dietmar Müller
Eine neue Variante des Klez-Wurms ist aufgetaucht. Die Experten von Symantec (Börse Frankfurt: SYM) berichten, der seit rund zwei Wochen bekannte Klez.h verbreitet nun den gefürchteten CIH-Virus. Erstmals 1999 hatte der auch unter dem Namen Chernobyl bekannte Bösewicht weltweit für Verwüstungen gesorgt (ZDNet berichtete).
Der Virus wird je nach Variante immer am 26. eines Monats oder am 26. April (Tag der Katastrophe im ukrainischen Kernkraftwerk) aktiv und ist in der Lage, die meisten Daten der Festplatte zu überschreiben. Er versucht sogar, den Flash-BIOS-Chip des Rechners zu löschen. Der Computer kann im Falle einer "erfolgreichen" Infektion nicht mehr gestartet werden, der Flash-Baustein muss ausgetauscht werden. Da auch die Festplatte befallen ist, hilft oft nur noch eine komplette Neueinrichtung des Systems. Laut Vincent Weafer von Symantec aktiviert sich die durch Klez transportierte Variante am 2. August eines jeden Jahres.
"Für Chernobyl ist Klez nur ein weiterer Infektionsweg", erläuterte Weafer. "Wenn ein Virus nur lange genug unterwegs ist, sind solche Huckepack-Aktionen eher die Regel. Viren können lange Zeit überleben und auch nach Jahren einen neuen Angriff starten."
Weltweit reißen Berichte über Infektionen mit Klez nicht ab. Dank seiner vielen Erscheinungsformen handelt es sich um eine der größten Wurm-Epidemien bisher. Speziell zur aktuellen Virenlawine hat ZDNet alle Nachrichten in einem Klez-Report gesammelt.
Klez.h kommt wie üblich per E-Mail ins Haus und enthält eine von 120 Phrasen wie beispielsweise:
Re: A WinXP patch
Undeliverable mail--"(random)"
Returned mail--"(random)"
(random)(random) game
(random) (random) tool
(random) (random) website
(random) (random) patch
(random) removal tools
how are you
let's be friends
darling
Der Body des Briefes variiert ebenfalls. Er kann unter anderem einen dieser Texte enthalten:
This is a special humour game
This is my first work.
Your're the first player.
I would expect you would enjoy it (virus name) is a dangerous virus that spread through email.
(Antivirus vendor) give you the (virus name) removal tools. For more information, please visit http://www.(antivirus vendor).com
Sowohl die Virenexperten von Kaspersky Labs als auch von Bitdefender bieten Werkzeuge an, mit denen der Klez-Virus von der Festplatte entfernt werden kann. Dabei ist es egal, um welche Variante (".g", ".h", ".k" oder ähnliches) es sich handelt. Kaspersky Lab bietet ein kostenloses Removal-Tool im DOS-Fenster, das Programm von Bitdefender ist genauso gut und zudem unter Windows auszuführen.
Der Klez-Wurm tritt unter einer Vielzahl verschiedener und zufällig ausgewählter Betreffzeilen und Attachments auf und besitze einen Schadteil, der Dateien im Windows Systemordner platziert, Massenmails sendet, Daten klaut und weiter versendet sowie Dateien löscht.
ZDNet bietet ein Virencenter mit allen aktuellen Informationen rund um die Gefahr aus dem Cyberspace.
Kontakt:
Network Associates, Tel.: 089/37070 (günstigsten Tarif anzeigen)
Kaspersky, Tel.: 007095/7978700 (günstigsten Tarif anzeigen)
Sophos, Tel.: 06136/91193 (günstigsten Tarif anzeigen)
Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)
Trend Micro, Tel.: 089/37479700 (günstigsten Tarif anzeigen)
Archiv:
· Studie: Klez schlimmer als Sircam und Nimda
· Untoter Klez löst neue Virenlawine aus
· Klez-Virus ist nicht zu stoppen
· 26. April: CIH-Tag
· CIH-Virus legt Sri Lanka lahm
ZitatAlles anzeigenInformationen zu Programmen mit Schadensfunktionen
--------------------------------------------------------------------------------
Name:
W32.Klez.E@mm
Alias:
I-Worm.Klez.E, Stemdil
Art:
Massenmailer-Wurm
Betriebssystem:
Microsoft Windows
Verbreitung:
mittel
Risiko:
bei Ausführung des Attachments: hoch
Schadensfunktion:
Beenden von verschiedenen Viren-Schutzprogrammen, zerstören von Dateien
bekannt seit: Januar 2002
Tools
Entfernungs-Programm
W32.Klez.E@mm ist ein Massenmailer-Wurm, der sich auch über Netzwerkfreigaben verbreiten kann.
Wichtiger Hinweis:
Bei der Verbreitung des Wurms werden fast immer gefälschte Absender Adressen verwendet.
Der richtige Absender befindet sich im Header der empfangenen Nachricht, und kann nur schwierig ermittelt werden.
Bei der Verbreitung über E-Mail nutzt er eine Sicherheitslücke in Microsoft Outlook und Outlook Express. Mit dieser Sicherheitslücke wird der Wurm sofort aktiviert, wenn die E-Mail gelesen wird, oder wenn die AutoVorschau aktiviert ist. Informationen zu dieser Sicherheitslücke finden Sie unter:
http://www.microsoft.com/techn…ity/bulletin/MS01-020.asp
Die Betreffzeile der E-Mail kann wie folgt aussehen:
how are you
let's be friends
darling
don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures
Ebenso tarnt sich Klez.E als Removal Tool von verschiedenen Anti-Virus Herstellern.
Betreff:
removal tools
Nachrichtentext:
{virusname} is a dangerous virus that spread through email.
{av_company_name} give you the {virusname} removal tools
For more information,please visit http://www.{av_company_name}.com
Als {av_company_name} wird 'Symantec', 'Mcafee', 'F-Secure' oder 'Sophos' eingetragen. {virusname} ist 'W32.Elkern' oder 'W32.Klez'.
Des weiteren tritt Klez.E als Spiel auf; dabei ist der Name des Anhangs SETUP.EXE oder INSTALL.EXE.
Der Nachrichtentext ist dann:
This is a special humour game
This game is my first work.
You're the first player.
I expect you would like it.
Außerdem verbreitet er sich über das Netzwerk. Er kopiert sich als RAR-Archiv auf erreichbare Netzlaufwerke.
Bei der Infektion des Systems kopiert sich der Wurm als Datei WINKxxx.EXE in das Windows Verzeichnis. xxx sind zwei bis drei unterschiedliche Zeichen. Danach fügt er einen Schlüssel in der Registry hinzu, mit dem er beim Systemstart aktiviert wird.
Klez.E beendet residente Programme von Anti-Virus Herstellern und von anderen Würmern. Diese sind:
Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32
Weitere Manipulationen an der Registry werden vom Wurm durchgeführt, die dazu führen, dass Sicherheitsprodukte beim nächsten Systemstart nicht mehr ausgeführt werden.
Als Schadensfunktion werden am 6. eines ungeraden Monats Dateien mit den Endungen:
txt
htm
html
wab
doc
xls
jpg
cpp
c
pas
mpg
mpeg
bak
mp3
zerstört.
Viren-Schutzprogramme erkennen W32.Klez.E@mm seit Januar 2002.
Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm für W32.Klez.E@mm zum kostenlosen Download bereitgestellt.
Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Erweiterung COM, EXE, BAT) oder anderer Dateien, die Programmcode enthalten können (Erweiterung DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
(Erstellt: 05.03.2002, geändert: 06.08.2002)
_________________
Philip Siefke
Veranstaltungstechniker
Feldstraße 9
23560 Lübeck
fon: +49 451 80 83 98 0
mobil: +49 179 82 33 42 2
--
<font size=-1>[ Diese Nachricht wurde geändert von: phil am 2002-08-15 17:51 ]</font>