Nome del virus:Worm/Klez.E
Scoperto:19/04/2002
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:No
Dimensione del file:~80.000 Byte

 Generale Metodi di propagazione:
   • Email
   • Rete locale


Alias:
   •  Symantec: W32/Klez.H@MM
   •  Mcafee: W32/Klez.h@MM
   •  Kaspersky: Email-Worm.Win32.Klez.h
   •  TrendMicro: WORM_KLEZ.H
   •  F-Secure: Win32.Klez.H@mm
   •  Sophos: W32/Klez-H
   •  Panda: W32/Klez.I
   •  Grisoft: I-Worm/Klez.H
   •  Eset: Win32/Klez.J
   •  Bitdefender: Win32.Klez.H@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Clona un file “maligno”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\wink%stringa casuale di tre caratteri%.exe
   • %TEMPDIR%\%stringa di caratteri casuale%%numero esadecimale%.exe



Cancella i seguenti file:
   • ANTI-VIR.DAT
   • CHKLIST.DAT
   • CHKLIST.MS
   • CHKLIST.CPS
   • CHKLIST.TAV
   • IVB.NTZ
   • SMARTCHK.MS
   • SMARTCHK.CPS
   • AVGQT.DAT
   • AGUARD.DAT
   • Shlwapi.dll
   • Kernel32.dll
   • netapi32.dll
   • sfc.dll



Cancella i file che contengono una delle seguenti sottostringhe:
   • _AVP32
   • _AVPCC
   • NOD32
   • NPSSVC
   • NRESQ32
   • NSCHED32
   • NSCHEDNT
   • NSPLUGIN
   • NAV
   • NAVAPSVC
   • NAVAPW32
   • NAVLU32
   • NAVRUNR
   • NAVW32
   • _AVPM
   • ALERTSVC
   • AMON
   • AVP32
   • AVPCC
   • AVPM
   • N32SCANW
   • NAVWNT
   • ANTIVIR
   • AVPUPD
   • AVGCTRL
   • AVWIN95
   • SCAN32
   • VSHWIN32
   • F-STOPW
   • F-PROT95
   • ACKWIN32
   • VETTRAY
   • VET95
   • SWEEP95
   • PCCWIN98
   • IOMON98
   • AVPTC
   • AVE32
   • AVCONSOL
   • FP-WIN
   • DVP95
   • F-AGNT95
   • CLAW95
   • NVC95
   • SCAN
   • VIRUS
   • LOCKDOWN2000
   • Norton
   • Mcafee
   • Antivir
   • TASKMGR
   • Sircam
   • Nimda
   • CodeRed
   • WQKMM3878
   • GRIEF3878
   • Fun Loving Criminal
   • Norton
   • Mcafee
   • Antivir
   • Avconsol
   • F-STOPW
   • F-Secure
   • Sophos
   • virus
   • AVP Monitor
   • AVP Updates
   • InoculateIT
   • PC-cillin
   • Symantec
   • Trend Micro
   • F-PROT
   • NOD32



Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %TEMPDIR%\%stringa di caratteri casuale%%numero esadecimale%.exe

%PROGRAM FILES%\%stringa casuale di tre caratteri%%numero esadecimale%.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: W32/Elkern.C

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • wink%stringa casuale di tre caratteri% = %SYSDIR%\wink%stringa casuale di tre caratteri%.exe



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Wink%stringa casuale di tre caratteri%]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\wink%stringa casuale di tre caratteri%.exe
   • DisplayName = Wink%stringa casuale di tre caratteri%
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
   • Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
   • 0 = Root\LEGACY_WINK%stringa casuale di tre caratteri%\0000
   • Count = 1
   • NextInstance = 1

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Exploit:
In certi casi sfrutta la seguente vulnerabilità:
– MS01-020 (Incorrect MIME Header Can Cause IE to Execute E-mail Attachment)


Da:
L'indirizzo del mittente è falso.


A:
– Indirizzi email trovati in specifici file sul sistema.
–Indirizzi email raccolti da MSN Messenger
–Indirizzi email raccolti da ICQ Messenger


Design delle email:



Oggetto: Worm Klez.E immunity
Corpo della mail:
   • Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
     Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
     We developed this free immunity tool to defeat the malicious virus.
     You only need to run this tool once,and then Klez will never come into your PC.
     NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
     If so,Ignore the warning,and select 'continue'.
     If you have any question,please mail to me.



Oggetto: W32.Elkern removal tools
Corpo della mail:
   • %sostituzione 1% give you the W32.Elkern removal tools
     W32.Elkern is a dangerous virus that can infect on Win98/Me/2000/XP.
     
     For more information,please visit http://www.%sostituzione 1%.com



Oggetto: W32.Klez.E removal tools
Corpo della mail:
   • %sostituzione 1% give you the W32.Klez.E removal tools
     W32.Klez.E is a dangerous virus that spread through email.
     
     For more information,please visit http://www.%sostituzione 1%.com



Da: postmaster@%dominio del destinatario%
Oggetto: Undeliverable mail--%parole casuali%
Corpo della mail:
   • The following mail can't be sent to:
      %indirizzo email del ricevente%
     
     From: %indirizzo email del mittente%
     To: %indirizzo email del ricevente%
     Subject: --%parole casuali%
     The file is the original mail



Da: postmaster@%dominio del destinatario%
Oggetto: Returned mail--%parole casuali%
Corpo della mail:
   • The following mail can't be sent to:
      %indirizzo email del ricevente%
     
     From: %indirizzo email del mittente%
     To: %indirizzo email del ricevente%
     Subject: --%parole casuali%
     The file is the original mail



Oggetto: A (very/special) %sostituzione 2% game
Corpo della mail:
   • (Hello,/Hi,) This is a (very/special) %sostituzione 2% game
     This game is my first work.
     You're the first player.
     I %sostituzione 3% you would %sostituzione 4% it.



Oggetto: A (very/special) %sostituzione 2% website
Corpo della mail:
   • (Hello,/Hi,) This is a (very/special)%sostituzione 2% website
     I %sostituzione 3% you would %sostituzione 4% it.



Oggetto: A (very) good/powerful tool
Corpo della mail:
   • (Hello,/Hi,) This is a (very) good/powerful website
     I %sostituzione 3% you would %sostituzione 4% it.
Oggetto: A IE 6.0/WinXP patch
Corpo della mail:
   • (Hello,/Hi,) This is a IE 6.0/WinXP patch.
     I %sostituzione 3% you would %sostituzione 4% it.


Oggetto:
In alcuni casi l'oggetto può anche essere vuoto.
L'oggetto dell'email è costruito estrapolandolo dai seguenti:

    A volte inizia con uno dei seguenti:
   • Fw:
   • Re:

    A volte seguito da uno dei seguenti:
   • Hi,%nome utente dall'indirizzo email del ricevente%,
   • Hello,%nome utente dall'indirizzo email del ricevente%,

    A volte seguito da uno dei seguenti:
   • Have a
   • Happy

   • how are you
   • let's be friends
   • darling
   • so cool a flash,enjoy it
   • your password
   • honey
   • some questions
   • please try again
   • welcome to my hometown
   • the Garden of Eden
   • introduction on ADSL
   • meeting notice
   • questionnaire
   • congratulations
   • sos!
   • Christmas
   • New year
   • Saint Valentine's Day
   • Allhallowmas
   • April Fools' Day
   • Lady Day
   • Assumption
   • Candlemas
   • All Souls'Day
   • Epiphany

   • japanese girl VS playboy
   • look,my beautiful girl friend
   • eager to see you
   • spice girls' vocal concert
   • japanese lass' sexy pictures


Corpo dell'email:
–  In alcuni casi può essere vuoto.


%sostituzione 1% può essere esteso ad uno dei seguenti:
   • Symantec
   • Mcafee
   • F-Secure
   • Sophos
   • Trendmicro
   • Kaspersky


%sostituzione 2% può essere esteso ad uno dei seguenti:
   • new
   • funny
   • nice
   • humour
   • excite


%sostituzione 3% può essere esteso ad uno dei seguenti:
   • wish
   • hope
   • expect


%sostituzione 4% può essere esteso ad uno dei seguenti:
   • like
   • enjoy


File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

–  Inizia con uno dei seguenti:
   • %file o directory esistente%

    L'estensione del file è una delle seguenti:
   • .exe
   • .scr
   • .pif
   • .bat

–  Inizia con uno dei seguenti:
   • %file o directory esistente%

    L'estensione del file è una delle seguenti:
   • .txt
   • .htm
   • .html
   • .wab
   • .asp
   • .doc
   • .rtf
   • .xls
   • .jpg
   • .cpp
   • .pas
   • .mpg
   • .mpeg
   • .bak
   • .mp3
   • .pdf



L'email può presentarsi come una delle seguenti:










 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .txt; .htm; .html; .wab; .asp; .doc; .rtf; .xls; .jpg; .cpp; .pas;
      .mpg; .mpeg; .bak; .mp3; .pdf

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa una copia di se stesso nella seguente condivisione di rete:
   • %tutte le cartelle condivise%


Processo virale:
Il file scaricato viene allocato nella macchina compromessa come: %file o directory esistente%

.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf

.exe
.scr
.pif
.bat
.rar

 Processi terminati I processi che contengono una delle seguenti stringhe vengono terminati:
   • _AVP32; _AVPCC; NOD32; NPSSVC; NRESQ32; NSCHED32; NSCHEDNT; NSPLUGIN;
      NAV; NAVAPSVC; NAVAPW32; NAVLU32; NAVRUNR; NAVW32; _AVPM; ALERTSVC;
      AMON; AVP32; AVPCC; AVPM; N32SCANW; NAVWNT; ANTIVIR; AVPUPD; AVGCTRL;
      AVWIN95; SCAN32; VSHWIN32; F-STOPW; F-PROT95; ACKWIN32; VETTRAY;
      VET95; SWEEP95; PCCWIN98; IOMON98; AVPTC; AVE32; AVCONSOL; FP-WIN;
      DVP95; F-AGNT95; CLAW95; NVC95; SCAN; VIRUS; LOCKDOWN2000; Norton;
      Mcafee; Antivir; TASKMGR; Sircam; Nimda; CodeRed; WQKMM3878;
      GRIEF3878; Fun Loving Criminal; Norton; Mcafee; Antivir; Avconsol;
      F-STOPW; F-Secure; Sophos; virus; AVP Monitor; AVP Updates;
      InoculateIT; PC-cillin; Symantec; Trend Micro; F-PROT; NOD32


 Varie Stringa:
In più contiene la seguente stringa:
   • Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.

About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing

Descrizione inserita da Andrei Gherman su martedì 9 ottobre 2007
Descrizione aggiornata da Andrei Gherman su martedì 9 ottobre 2007

Indietro . . . .