Nom:Worm/Klez.E
La date de la découverte:19/04/2002
Type:Ver
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:~80.000 Octets

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Symantec: W32/Klez.H@MM
   •  Mcafee: W32/Klez.h@MM
   •  Kaspersky: Email-Worm.Win32.Klez.h
   •  TrendMicro: WORM_KLEZ.H
   •  F-Secure: Win32.Klez.H@mm
   •  Sophos: W32/Klez-H
   •  Panda: W32/Klez.I
   •  Grisoft: I-Worm/Klez.H
   •  Eset: Win32/Klez.J
   •  Bitdefender: Win32.Klez.H@mm


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il emploie les vulnérabilités de software
   • Il vole de l'information

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\wink%chaîne de caractères aléatoire de trois digits%.exe
   • %TEMPDIR%\%chaîne de caractères aléatoire%%numéro hexadécimal%.exe



Il supprime les fichiers suivants:
   • ANTI-VIR.DAT
   • CHKLIST.DAT
   • CHKLIST.MS
   • CHKLIST.CPS
   • CHKLIST.TAV
   • IVB.NTZ
   • SMARTCHK.MS
   • SMARTCHK.CPS
   • AVGQT.DAT
   • AGUARD.DAT
   • Shlwapi.dll
   • Kernel32.dll
   • netapi32.dll
   • sfc.dll



Il supprime les fichiers qui contient une des chaînes de caractères suivantes:
   • _AVP32
   • _AVPCC
   • NOD32
   • NPSSVC
   • NRESQ32
   • NSCHED32
   • NSCHEDNT
   • NSPLUGIN
   • NAV
   • NAVAPSVC
   • NAVAPW32
   • NAVLU32
   • NAVRUNR
   • NAVW32
   • _AVPM
   • ALERTSVC
   • AMON
   • AVP32
   • AVPCC
   • AVPM
   • N32SCANW
   • NAVWNT
   • ANTIVIR
   • AVPUPD
   • AVGCTRL
   • AVWIN95
   • SCAN32
   • VSHWIN32
   • F-STOPW
   • F-PROT95
   • ACKWIN32
   • VETTRAY
   • VET95
   • SWEEP95
   • PCCWIN98
   • IOMON98
   • AVPTC
   • AVE32
   • AVCONSOL
   • FP-WIN
   • DVP95
   • F-AGNT95
   • CLAW95
   • NVC95
   • SCAN
   • VIRUS
   • LOCKDOWN2000
   • Norton
   • Mcafee
   • Antivir
   • TASKMGR
   • Sircam
   • Nimda
   • CodeRed
   • WQKMM3878
   • GRIEF3878
   • Fun Loving Criminal
   • Norton
   • Mcafee
   • Antivir
   • Avconsol
   • F-STOPW
   • F-Secure
   • Sophos
   • virus
   • AVP Monitor
   • AVP Updates
   • InoculateIT
   • PC-cillin
   • Symantec
   • Trend Micro
   • F-PROT
   • NOD32



Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %TEMPDIR%\%chaîne de caractères aléatoire%%numéro hexadécimal%.exe

%PROGRAM FILES%\%chaîne de caractères aléatoire de trois digits%%numéro hexadécimal%.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: W32/Elkern.C

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • wink%chaîne de caractères aléatoire de trois digits% = %SYSDIR%\wink%chaîne de caractères aléatoire de trois digits%.exe



Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Wink%chaîne de caractères aléatoire de trois digits%]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\wink%chaîne de caractères aléatoire de trois digits%.exe
   • DisplayName = Wink%chaîne de caractères aléatoire de trois digits%
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
   • Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
   • 0 = Root\LEGACY_WINK%chaîne de caractères aléatoire de trois digits%\0000
   • Count = 1
   • NextInstance = 1

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS01-020 (Incorrect MIME Header Can Cause IE to Execute E-mail Attachment)


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
–les adresses d'email recueillies du MSN Messenger
–les adresses d'email recueillies du ICQ Messenger


Le format des emails:
 


Sujet: Worm Klez.E immunity
Le corps:
   • Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
     Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
     We developed this free immunity tool to defeat the malicious virus.
     You only need to run this tool once,and then Klez will never come into your PC.
     NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
     If so,Ignore the warning,and select 'continue'.
     If you have any question,please mail to me.
 


Sujet: W32.Elkern removal tools
Le corps:
   • %le substitut 1% give you the W32.Elkern removal tools
     W32.Elkern is a dangerous virus that can infect on Win98/Me/2000/XP.
     
     For more information,please visit http://www.%le substitut 1%.com
 


Sujet: W32.Klez.E removal tools
Le corps:
   • %le substitut 1% give you the W32.Klez.E removal tools
     W32.Klez.E is a dangerous virus that spread through email.
     
     For more information,please visit http://www.%le substitut 1%.com
 


De: postmaster@%le domaine du destinataire%
Sujet: Undeliverable mail--%mots aléatoires%
Le corps:
   • The following mail can't be sent to:
      %l'adresse email du destinataire%
     
     From: %Adresse email de l’expéditeur%
     To: %l'adresse email du destinataire%
     Subject: --%mots aléatoires%
     The file is the original mail
 


De: postmaster@%le domaine du destinataire%
Sujet: Returned mail--%mots aléatoires%
Le corps:
   • The following mail can't be sent to:
      %l'adresse email du destinataire%
     
     From: %Adresse email de l’expéditeur%
     To: %l'adresse email du destinataire%
     Subject: --%mots aléatoires%
     The file is the original mail
 


Sujet: A (very/special) %le substitut 2% game
Le corps:
   • (Hello,/Hi,) This is a (very/special) %le substitut 2% game
     This game is my first work.
     You're the first player.
     I %le substitut 3% you would %le substitut 4% it.
 


Sujet: A (very/special) %le substitut 2% website
Le corps:
   • (Hello,/Hi,) This is a (very/special)%le substitut 2% website
     I %le substitut 3% you would %le substitut 4% it.
 


Sujet: A (very) good/powerful tool
Le corps:
   • (Hello,/Hi,) This is a (very) good/powerful website
     I %le substitut 3% you would %le substitut 4% it.
Sujet: A IE 6.0/WinXP patch
Le corps:
   • (Hello,/Hi,) This is a IE 6.0/WinXP patch.
     I %le substitut 3% you would %le substitut 4% it.


Sujet:
Dans certains cas, le sujet pourrait également être vide.
Le sujet de l'email est construit de ce que suit:

    Parfois il commence avec un des suivants:
   • Fw:
   • Re:

    Parfois continué par un des suivants:
   • Hi,%le nom d'utilisateur de l'adresse email du destinataire%,
   • Hello,%le nom d'utilisateur de l'adresse email du destinataire%,

    Parfois continue par un des suivants:
   • Have a
   • Happy

   • how are you
   • let's be friends
   • darling
   • so cool a flash,enjoy it
   • your password
   • honey
   • some questions
   • please try again
   • welcome to my hometown
   • the Garden of Eden
   • introduction on ADSL
   • meeting notice
   • questionnaire
   • congratulations
   • sos!
   • Christmas
   • New year
   • Saint Valentine's Day
   • Allhallowmas
   • April Fools' Day
   • Lady Day
   • Assumption
   • Candlemas
   • All Souls'Day
   • Epiphany

   • japanese girl VS playboy
   • look,my beautiful girl friend
   • eager to see you
   • spice girls' vocal concert
   • japanese lass' sexy pictures


Corps:
–  Dans certains cas, il peut être vide.


%le substitut 1% est étendu à un des suivants :
   • Symantec
   • Mcafee
   • F-Secure
   • Sophos
   • Trendmicro
   • Kaspersky


%le substitut 2% est étendu à un des suivants :
   • new
   • funny
   • nice
   • humour
   • excite


%le substitut 3% est étendu à un des suivants :
   • wish
   • hope
   • expect


%le substitut 4% est étendu à un des suivants :
   • like
   • enjoy


Pièce jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Il commence avec un des suivants:
   • %Fichier ou liste existant%

    L'extension du fichier est une des suivantes:
   • .exe
   • .scr
   • .pif
   • .bat

–  Il commence avec un des suivants:
   • %Fichier ou liste existant%

    L'extension du fichier est une des suivantes:
   • .txt
   • .htm
   • .html
   • .wab
   • .asp
   • .doc
   • .rtf
   • .xls
   • .jpg
   • .cpp
   • .pas
   • .mpg
   • .mpeg
   • .bak
   • .mp3
   • .pdf



L'email pourrait ressembler à un des suivants:










 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .txt; .htm; .html; .wab; .asp; .doc; .rtf; .xls; .jpg; .cpp; .pas;
      .mpg; .mpeg; .bak; .mp3; .pdf

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans le partage réseau suivant:
   • %tous les dossiers partagés%


Le processus d'infection:
Le fichier téléchargé est stocké sur la machine compromise comme: %Fichier ou liste existant%

.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf

.exe
.scr
.pif
.bat
.rar

 Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
   • _AVP32; _AVPCC; NOD32; NPSSVC; NRESQ32; NSCHED32; NSCHEDNT; NSPLUGIN;
      NAV; NAVAPSVC; NAVAPW32; NAVLU32; NAVRUNR; NAVW32; _AVPM; ALERTSVC;
      AMON; AVP32; AVPCC; AVPM; N32SCANW; NAVWNT; ANTIVIR; AVPUPD; AVGCTRL;
      AVWIN95; SCAN32; VSHWIN32; F-STOPW; F-PROT95; ACKWIN32; VETTRAY;
      VET95; SWEEP95; PCCWIN98; IOMON98; AVPTC; AVE32; AVCONSOL; FP-WIN;
      DVP95; F-AGNT95; CLAW95; NVC95; SCAN; VIRUS; LOCKDOWN2000; Norton;
      Mcafee; Antivir; TASKMGR; Sircam; Nimda; CodeRed; WQKMM3878;
      GRIEF3878; Fun Loving Criminal; Norton; Mcafee; Antivir; Avconsol;
      F-STOPW; F-Secure; Sophos; virus; AVP Monitor; AVP Updates;
      InoculateIT; PC-cillin; Symantec; Trend Micro; F-PROT; NOD32


 Informations divers Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.

About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing

Description insérée par Andrei Gherman le mardi 9 octobre 2007
Description mise à jour par Andrei Gherman le mardi 9 octobre 2007

Retour . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tous droits réservés.

Mon Compte

https:// Cet écran est crypté pour votre sécurité.