Name:Worm/Klez.E
Entdeckt am:19/04/2002
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:~80.000 Bytes

 General Verbreitungsmethoden:
   • Email
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32/Klez.H@MM
   •  Mcafee: W32/Klez.h@MM
   •  Kaspersky: Email-Worm.Win32.Klez.h
   •  TrendMicro: WORM_KLEZ.H
   •  F-Secure: Win32.Klez.H@mm
   •  Sophos: W32/Klez-H
   •  Panda: W32/Klez.I
   •  Grisoft: I-Worm/Klez.H
   •  Eset: Win32/Klez.J
   •  Bitdefender: Win32.Klez.H@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt eine potentiell gefährliche Datei
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Macht sich Software Verwundbarkeit zu nutzen
   • Stiehlt Informationen

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
   • %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe



Folgende Dateien werden gelöscht:
   • ANTI-VIR.DAT
   • CHKLIST.DAT
   • CHKLIST.MS
   • CHKLIST.CPS
   • CHKLIST.TAV
   • IVB.NTZ
   • SMARTCHK.MS
   • SMARTCHK.CPS
   • AVGQT.DAT
   • AGUARD.DAT
   • Shlwapi.dll
   • Kernel32.dll
   • netapi32.dll
   • sfc.dll



Dateien welche eine der folgenden Zeichenketten enthalten werden gelöscht:
   • _AVP32
   • _AVPCC
   • NOD32
   • NPSSVC
   • NRESQ32
   • NSCHED32
   • NSCHEDNT
   • NSPLUGIN
   • NAV
   • NAVAPSVC
   • NAVAPW32
   • NAVLU32
   • NAVRUNR
   • NAVW32
   • _AVPM
   • ALERTSVC
   • AMON
   • AVP32
   • AVPCC
   • AVPM
   • N32SCANW
   • NAVWNT
   • ANTIVIR
   • AVPUPD
   • AVGCTRL
   • AVWIN95
   • SCAN32
   • VSHWIN32
   • F-STOPW
   • F-PROT95
   • ACKWIN32
   • VETTRAY
   • VET95
   • SWEEP95
   • PCCWIN98
   • IOMON98
   • AVPTC
   • AVE32
   • AVCONSOL
   • FP-WIN
   • DVP95
   • F-AGNT95
   • CLAW95
   • NVC95
   • SCAN
   • VIRUS
   • LOCKDOWN2000
   • Norton
   • Mcafee
   • Antivir
   • TASKMGR
   • Sircam
   • Nimda
   • CodeRed
   • WQKMM3878
   • GRIEF3878
   • Fun Loving Criminal
   • Norton
   • Mcafee
   • Antivir
   • Avconsol
   • F-STOPW
   • F-Secure
   • Sophos
   • virus
   • AVP Monitor
   • AVP Updates
   • InoculateIT
   • PC-cillin
   • Symantec
   • Trend Micro
   • F-PROT
   • NOD32



Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe

%PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • wink%dreistellige zufällige Buchstabenkombination% = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe



Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Wink%dreistellige zufällige Buchstabenkombination%]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
   • DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
   • Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
   • 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
   • Count = 1
   • NextInstance = 1

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Exploit:
Manchmal wird folgende Sicherheitslücke wird ausgenutzt:
– MS01-020 (Incorrect MIME Header Can Cause IE to Execute E-mail Attachment)


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
–Gesammelte Email Adressen aus MSN Messenger
–Gesammelte Email Adressen aus ICQ Messenger


Design der Emails:
 


Betreff: Worm Klez.E immunity
Body:
   • Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
     Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
     We developed this free immunity tool to defeat the malicious virus.
     You only need to run this tool once,and then Klez will never come into your PC.
     NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
     If so,Ignore the warning,and select 'continue'.
     If you have any question,please mail to me.
 


Betreff: W32.Elkern removal tools
Body:
   • %Platzhalter 1% give you the W32.Elkern removal tools
     W32.Elkern is a dangerous virus that can infect on Win98/Me/2000/XP.
     
     For more information,please visit http://www.%Platzhalter 1%.com
 


Betreff: W32.Klez.E removal tools
Body:
   • %Platzhalter 1% give you the W32.Klez.E removal tools
     W32.Klez.E is a dangerous virus that spread through email.
     
     For more information,please visit http://www.%Platzhalter 1%.com
 


Von: postmaster@%Domäne des Empfängers%
Betreff: Undeliverable mail--%zufällige Wörter%
Body:
   • The following mail can't be sent to:
      %Emailadresse des Empfängers%
     
     From: %Emailadresse des Absenders%
     To: %Emailadresse des Empfängers%
     Subject: --%zufällige Wörter%
     The file is the original mail
 


Von: postmaster@%Domäne des Empfängers%
Betreff: Returned mail--%zufällige Wörter%
Body:
   • The following mail can't be sent to:
      %Emailadresse des Empfängers%
     
     From: %Emailadresse des Absenders%
     To: %Emailadresse des Empfängers%
     Subject: --%zufällige Wörter%
     The file is the original mail
 


Betreff: A (very/special) %Platzhalter 2% game
Body:
   • (Hello,/Hi,) This is a (very/special) %Platzhalter 2% game
     This game is my first work.
     You're the first player.
     I %Platzhalter 3% you would %Platzhalter 4% it.
 


Betreff: A (very/special) %Platzhalter 2% website
Body:
   • (Hello,/Hi,) This is a (very/special)%Platzhalter 2% website
     I %Platzhalter 3% you would %Platzhalter 4% it.
 


Betreff: A (very) good/powerful tool
Body:
   • (Hello,/Hi,) This is a (very) good/powerful website
     I %Platzhalter 3% you would %Platzhalter 4% it.
Betreff: A IE 6.0/WinXP patch
Body:
   • (Hello,/Hi,) This is a IE 6.0/WinXP patch.
     I %Platzhalter 3% you would %Platzhalter 4% it.


Betreff:
Manchmal kann die Betreffzeile auch leer sein.
Der Betreff wird wie folgt zusammengesetzt:

    Manchmal beginnt er mit einem der folgenden:
   • Fw:
   • Re:

    Manchmal gefolgt von einer der folgenden:
   • Hi,%Benutzernamen der Emailadresse des Empfängers%,
   • Hello,%Benutzernamen der Emailadresse des Empfängers%,

    Manchmal gefolgt von einer der folgenden:
   • Have a
   • Happy

   • how are you
   • let's be friends
   • darling
   • so cool a flash,enjoy it
   • your password
   • honey
   • some questions
   • please try again
   • welcome to my hometown
   • the Garden of Eden
   • introduction on ADSL
   • meeting notice
   • questionnaire
   • congratulations
   • sos!
   • Christmas
   • New year
   • Saint Valentine's Day
   • Allhallowmas
   • April Fools' Day
   • Lady Day
   • Assumption
   • Candlemas
   • All Souls'Day
   • Epiphany

   • japanese girl VS playboy
   • look,my beautiful girl friend
   • eager to see you
   • spice girls' vocal concert
   • japanese lass' sexy pictures


Body:
–  Kann unter Umständen leer sein.


%Platzhalter 1% wird durch einen der folgenden ersetzt:
   • Symantec
   • Mcafee
   • F-Secure
   • Sophos
   • Trendmicro
   • Kaspersky


%Platzhalter 2% wird durch einen der folgenden ersetzt:
   • new
   • funny
   • nice
   • humour
   • excite


%Platzhalter 3% wird durch einen der folgenden ersetzt:
   • wish
   • hope
   • expect


%Platzhalter 4% wird durch einen der folgenden ersetzt:
   • like
   • enjoy


Dateianhang:
Die Dateinamen der Anhänge wird aus folgenden zusammengesetzt:

–  Es beginnt mit einer der folgenden:
   • %existierende Datei oder Verzeichnis%

    Die Dateierweiterung ist eine der folgenden:
   • .exe
   • .scr
   • .pif
   • .bat

–  Es beginnt mit einer der folgenden:
   • %existierende Datei oder Verzeichnis%

    Die Dateierweiterung ist eine der folgenden:
   • .txt
   • .htm
   • .html
   • .wab
   • .asp
   • .doc
   • .rtf
   • .xls
   • .jpg
   • .cpp
   • .pas
   • .mpg
   • .mpeg
   • .bak
   • .mp3
   • .pdf



Die Email könnte wie eine der folgenden aussehen.










 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .txt; .htm; .html; .wab; .asp; .doc; .rtf; .xls; .jpg; .cpp; .pas;
      .mpg; .mpeg; .bak; .mp3; .pdf

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Eine Kopie seiner selbst wird in folgender freigegebenen Netzressource erstellt:
   • %alle freigegebenen Verzeichnisse%


Ablauf der Infektion:
Die heruntergeladene Datei wird auf dem enternten computer wie folgt gespeichert: %existierende Datei oder Verzeichnis%

.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf

.exe
.scr
.pif
.bat
.rar

 Prozess Beendigung Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • _AVP32; _AVPCC; NOD32; NPSSVC; NRESQ32; NSCHED32; NSCHEDNT; NSPLUGIN;
      NAV; NAVAPSVC; NAVAPW32; NAVLU32; NAVRUNR; NAVW32; _AVPM; ALERTSVC;
      AMON; AVP32; AVPCC; AVPM; N32SCANW; NAVWNT; ANTIVIR; AVPUPD; AVGCTRL;
      AVWIN95; SCAN32; VSHWIN32; F-STOPW; F-PROT95; ACKWIN32; VETTRAY;
      VET95; SWEEP95; PCCWIN98; IOMON98; AVPTC; AVE32; AVCONSOL; FP-WIN;
      DVP95; F-AGNT95; CLAW95; NVC95; SCAN; VIRUS; LOCKDOWN2000; Norton;
      Mcafee; Antivir; TASKMGR; Sircam; Nimda; CodeRed; WQKMM3878;
      GRIEF3878; Fun Loving Criminal; Norton; Mcafee; Antivir; Avconsol;
      F-STOPW; F-Secure; Sophos; virus; AVP Monitor; AVP Updates;
      InoculateIT; PC-cillin; Symantec; Trend Micro; F-PROT; NOD32


 Diverses String:
Des Weiteren enthält es folgende Zeichenkette:
   • Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.

About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing

Die Beschreibung wurde erstellt von Andrei Gherman am Dienstag, 9. Oktober 2007
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 9. Oktober 2007

zurück . . . .