VírusWorm/Klez.E
Data em que surgiu:19/04/2002
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Não
Tamanho:~80.000 Bytes

 Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32/Klez.H@MM
   •  Mcafee: W32/Klez.h@MM
   •  Kaspersky: Email-Worm.Win32.Klez.h
   •  TrendMicro: WORM_KLEZ.H
   •  F-Secure: Win32.Klez.H@mm
   •  Sophos: W32/Klez-H
   •  Panda: W32/Klez.I
   •  Grisoft: I-Worm/Klez.H
   •  Eset: Win32/Klez.J
   •  Bitdefender: Win32.Klez.H@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega um ficheiro malicioso
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\wink%três caracteres aleatórios%.exe
   • %TEMPDIR%\%uma série de caracteres aleatórios%%número hexadecimal%.exe



Elimina os seguintes ficheiros:
   • ANTI-VIR.DAT
   • CHKLIST.DAT
   • CHKLIST.MS
   • CHKLIST.CPS
   • CHKLIST.TAV
   • IVB.NTZ
   • SMARTCHK.MS
   • SMARTCHK.CPS
   • AVGQT.DAT
   • AGUARD.DAT
   • Shlwapi.dll
   • Kernel32.dll
   • netapi32.dll
   • sfc.dll



Apaga ficheiros que contêm um dos textos seguintes:
   • _AVP32
   • _AVPCC
   • NOD32
   • NPSSVC
   • NRESQ32
   • NSCHED32
   • NSCHEDNT
   • NSPLUGIN
   • NAV
   • NAVAPSVC
   • NAVAPW32
   • NAVLU32
   • NAVRUNR
   • NAVW32
   • _AVPM
   • ALERTSVC
   • AMON
   • AVP32
   • AVPCC
   • AVPM
   • N32SCANW
   • NAVWNT
   • ANTIVIR
   • AVPUPD
   • AVGCTRL
   • AVWIN95
   • SCAN32
   • VSHWIN32
   • F-STOPW
   • F-PROT95
   • ACKWIN32
   • VETTRAY
   • VET95
   • SWEEP95
   • PCCWIN98
   • IOMON98
   • AVPTC
   • AVE32
   • AVCONSOL
   • FP-WIN
   • DVP95
   • F-AGNT95
   • CLAW95
   • NVC95
   • SCAN
   • VIRUS
   • LOCKDOWN2000
   • Norton
   • Mcafee
   • Antivir
   • TASKMGR
   • Sircam
   • Nimda
   • CodeRed
   • WQKMM3878
   • GRIEF3878
   • Fun Loving Criminal
   • Norton
   • Mcafee
   • Antivir
   • Avconsol
   • F-STOPW
   • F-Secure
   • Sophos
   • virus
   • AVP Monitor
   • AVP Updates
   • InoculateIT
   • PC-cillin
   • Symantec
   • Trend Micro
   • F-PROT
   • NOD32



São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %TEMPDIR%\%uma série de caracteres aleatórios%%número hexadecimal%.exe

%PROGRAM FILES%\%três caracteres aleatórios%%número hexadecimal%.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: W32/Elkern.C

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • wink%três caracteres aleatórios% = %SYSDIR%\wink%três caracteres aleatórios%.exe



Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Wink%três caracteres aleatórios%]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\wink%três caracteres aleatórios%.exe
   • DisplayName = Wink%três caracteres aleatórios%
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
   • Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
   • 0 = Root\LEGACY_WINK%três caracteres aleatórios%\0000
   • Count = 1
   • NextInstance = 1

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


Exploit:
Nalguns casos utiliza a seguinte vulnerabilidade:
– [EN]MS01-020 (Incorrect MIME Header Can Cause IE to Execute E-mail Attachment)


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
–Endereços de e-mail recolhidos do MSN Messenger.
–Endereço de e-mail recolhidos do ICQ Messenger.


Formato do email:



Assunto: Worm Klez.E immunity
Body:
   • Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
     Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
     We developed this free immunity tool to defeat the malicious virus.
     You only need to run this tool once,and then Klez will never come into your PC.
     NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
     If so,Ignore the warning,and select 'continue'.
     If you have any question,please mail to me.



Assunto: W32.Elkern removal tools
Body:
   • %substituição 1% give you the W32.Elkern removal tools
     W32.Elkern is a dangerous virus that can infect on Win98/Me/2000/XP.
     
     For more information,please visit http://www.%substituição 1%.com



Assunto: W32.Klez.E removal tools
Body:
   • %substituição 1% give you the W32.Klez.E removal tools
     W32.Klez.E is a dangerous virus that spread through email.
     
     For more information,please visit http://www.%substituição 1%.com



De: postmaster@%domínio do destinatário%
Assunto: Undeliverable mail--%palavras aleatórias%
Body:
   • The following mail can't be sent to:
      %endereço de e-mail do destinatário%
     
     From: %endereço de e-mail do remetente%
     To: %endereço de e-mail do destinatário%
     Subject: --%palavras aleatórias%
     The file is the original mail



De: postmaster@%domínio do destinatário%
Assunto: Returned mail--%palavras aleatórias%
Body:
   • The following mail can't be sent to:
      %endereço de e-mail do destinatário%
     
     From: %endereço de e-mail do remetente%
     To: %endereço de e-mail do destinatário%
     Subject: --%palavras aleatórias%
     The file is the original mail



Assunto: A (very/special) %substituição 2% game
Body:
   • (Hello,/Hi,) This is a (very/special) %substituição 2% game
     This game is my first work.
     You're the first player.
     I %substituição 3% you would %substituição 4% it.



Assunto: A (very/special) %substituição 2% website
Body:
   • (Hello,/Hi,) This is a (very/special)%substituição 2% website
     I %substituição 3% you would %substituição 4% it.



Assunto: A (very) good/powerful tool
Body:
   • (Hello,/Hi,) This is a (very) good/powerful website
     I %substituição 3% you would %substituição 4% it.
Assunto: A IE 6.0/WinXP patch
Body:
   • (Hello,/Hi,) This is a IE 6.0/WinXP patch.
     I %substituição 3% you would %substituição 4% it.


Assunto:
Nalguns casos o assunto pode não conter texto.
O assunto do e-mail é feito a partir do seguinte:

    Às vezes inicia com o seguinte:
   • Fw:
   • Re:

    Por vezes continuado por um dos seguintes:
   • Hi,% nome de utilizador do endereço de e-mail do destinatário%,
   • Hello,% nome de utilizador do endereço de e-mail do destinatário%,

    Por vezes continuado por um dos seguintes:
   • Have a
   • Happy

   • how are you
   • let's be friends
   • darling
   • so cool a flash,enjoy it
   • your password
   • honey
   • some questions
   • please try again
   • welcome to my hometown
   • the Garden of Eden
   • introduction on ADSL
   • meeting notice
   • questionnaire
   • congratulations
   • sos!
   • Christmas
   • New year
   • Saint Valentine's Day
   • Allhallowmas
   • April Fools' Day
   • Lady Day
   • Assumption
   • Candlemas
   • All Souls'Day
   • Epiphany

   • japanese girl VS playboy
   • look,my beautiful girl friend
   • eager to see you
   • spice girls' vocal concert
   • japanese lass' sexy pictures


Corpo:
–  Nalguns casos pode estar vazio.


%substituição 1% pode ser extendido a um dos seguintes:
   • Symantec
   • Mcafee
   • F-Secure
   • Sophos
   • Trendmicro
   • Kaspersky


%substituição 2% é extendido a um dos seguintes:
   • new
   • funny
   • nice
   • humour
   • excite


%substituição 3% é extendido a um dos seguintes:
   • wish
   • hope
   • expect


%substituição 4% é extendido a um dos seguintes:
   • like
   • enjoy


Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

–  Começa por um dos seguintes:
   • %ficheiro ou pasta existente%

    A extensão do ficheiro é uma das seguintes:
   • .exe
   • .scr
   • .pif
   • .bat

–  Começa por um dos seguintes:
   • %ficheiro ou pasta existente%

    A extensão do ficheiro é uma das seguintes:
   • .txt
   • .htm
   • .html
   • .wab
   • .asp
   • .doc
   • .rtf
   • .xls
   • .jpg
   • .cpp
   • .pas
   • .mpg
   • .mpeg
   • .bak
   • .mp3
   • .pdf



O email pode ser parecido com um dos seguintes:










 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .txt; .htm; .html; .wab; .asp; .doc; .rtf; .xls; .jpg; .cpp; .pas;
      .mpg; .mpeg; .bak; .mp3; .pdf

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia uma cópia de si próprio à seguinte partilha de rede:
   • %todas as pastas partilhadas%


Processo de infecção:
O ficheiro descarregado é armazenado na máquina a atacar: %ficheiro ou pasta existente%

.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf

.exe
.scr
.pif
.bat
.rar

 Terminar o processo São terminados os processos com um dos seguintes textos:
   • _AVP32; _AVPCC; NOD32; NPSSVC; NRESQ32; NSCHED32; NSCHEDNT; NSPLUGIN;
      NAV; NAVAPSVC; NAVAPW32; NAVLU32; NAVRUNR; NAVW32; _AVPM; ALERTSVC;
      AMON; AVP32; AVPCC; AVPM; N32SCANW; NAVWNT; ANTIVIR; AVPUPD; AVGCTRL;
      AVWIN95; SCAN32; VSHWIN32; F-STOPW; F-PROT95; ACKWIN32; VETTRAY;
      VET95; SWEEP95; PCCWIN98; IOMON98; AVPTC; AVE32; AVCONSOL; FP-WIN;
      DVP95; F-AGNT95; CLAW95; NVC95; SCAN; VIRUS; LOCKDOWN2000; Norton;
      Mcafee; Antivir; TASKMGR; Sircam; Nimda; CodeRed; WQKMM3878;
      GRIEF3878; Fun Loving Criminal; Norton; Mcafee; Antivir; Avconsol;
      F-STOPW; F-Secure; Sophos; virus; AVP Monitor; AVP Updates;
      InoculateIT; PC-cillin; Symantec; Trend Micro; F-PROT; NOD32


 Informações diversas Texto:
Além disso tem o seguinte texto:
   • Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.

About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing

Descrição enviada por Andrei Gherman em terça-feira, 9 de outubro de 2007
Descrição atualizada por Andrei Gherman em terça-feira, 9 de outubro de 2007

Voltar . . . .