Полное описание

Имя:	Worm/Klez.E
Обнаружен:	19/04/2002
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Средний
Потенциал распространения:	От среднего до высокого
Потенциал повреждений:	Средний
Файл статистики:	Нет
Размер файла:	~80.000 байт.

Общее Методы распространения:
   • Email
   • Локальная сеть

Псевдонимы (аliases):
   • Symantec: W32/Klez.H@MM
   • Mcafee: W32/Klez.h@MM
   • Kaspersky: Email-Worm.Win32.Klez.h
   • TrendMicro: WORM_KLEZ.H
   • F-Secure: Win32.Klez.H@mm
   • Sophos: W32/Klez-H
   • Panda: W32/Klez.I
   • Grisoft: I-Worm/Klez.H
   • Eset: Win32/Klez.J
   • Bitdefender: Win32.Klez.H@mm

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Отключение приложений безопасности
   • Создает потенциально опасный файл
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Использует уязвимость ПО
   • Похищает информацию

Файлы Создаются собственные копии:
   • %SYSDIR%\wink%случайная комбинация из трех букв%.exe
   • %TEMPDIR%\%случайная буквенная комбинация%%Шестнадцатиричное число%.exe

Удаляются следующие файлы:
   • ANTI-VIR.DAT
   • CHKLIST.DAT
   • CHKLIST.MS
   • CHKLIST.CPS
   • CHKLIST.TAV
   • IVB.NTZ
   • SMARTCHK.MS
   • SMARTCHK.CPS
   • AVGQT.DAT
   • AGUARD.DAT
   • Shlwapi.dll
   • Kernel32.dll
   • netapi32.dll
   • sfc.dll

Удаляются файлы с одной из следующих цепочек символов:
   • _AVP32
   • _AVPCC
   • NOD32
   • NPSSVC
   • NRESQ32
   • NSCHED32
   • NSCHEDNT
   • NSPLUGIN
   • NAV
   • NAVAPSVC
   • NAVAPW32
   • NAVLU32
   • NAVRUNR
   • NAVW32
   • _AVPM
   • ALERTSVC
   • AMON
   • AVP32
   • AVPCC
   • AVPM
   • N32SCANW
   • NAVWNT
   • ANTIVIR
   • AVPUPD
   • AVGCTRL
   • AVWIN95
   • SCAN32
   • VSHWIN32
   • F-STOPW
   • F-PROT95
   • ACKWIN32
   • VETTRAY
   • VET95
   • SWEEP95
   • PCCWIN98
   • IOMON98
   • AVPTC
   • AVE32
   • AVCONSOL
   • FP-WIN
   • DVP95
   • F-AGNT95
   • CLAW95
   • NVC95
   • SCAN
   • VIRUS
   • LOCKDOWN2000
   • Norton
   • Mcafee
   • Antivir
   • TASKMGR
   • Sircam
   • Nimda
   • CodeRed
   • WQKMM3878
   • GRIEF3878
   • Fun Loving Criminal
   • Norton
   • Mcafee
   • Antivir
   • Avconsol
   • F-STOPW
   • F-Secure
   • Sophos
   • virus
   • AVP Monitor
   • AVP Updates
   • InoculateIT
   • PC-cillin
   • Symantec
   • Trend Micro
   • F-PROT
   • NOD32

Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %TEMPDIR%\%случайная буквенная комбинация%%Шестнадцатиричное число%.exe

– %PROGRAM FILES%\%случайная комбинация из трех букв%%Шестнадцатиричное число%.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: W32/Elkern.C

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • wink%случайная комбинация из трех букв% = %SYSDIR%\wink%случайная комбинация из трех букв%.exe

Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Wink%случайная комбинация из трех букв%]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\wink%случайная комбинация из трех букв%.exe
   • DisplayName = Wink%случайная комбинация из трех букв%
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
   • Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
   • 0 = Root\LEGACY_WINK%случайная комбинация из трех букв%\0000
   • Count = 1
   • NextInstance = 1

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

Эксплойт:
Иногда используется следующая брешь в безопасности:
– MS01-020 (Неверный заголовок MIME может послужить причиной запуска прикрепленного к письму файла на выполнение)

От:
Адрес отправителя был фальсифицирован.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.
–Полученные из MSN Messenger адреса электронной почты
–Полученные из ICQ Messenger адреса электронной почты

Дизайн писем:
Тема: Worm Klez.E immunity
Текст письма:
   • Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
     Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
     We developed this free immunity tool to defeat the malicious virus.
     You only need to run this tool once,and then Klez will never come into your PC.
     NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
     If so,Ignore the warning,and select 'continue'.
     If you have any question,please mail to me.
Тема: W32.Elkern removal tools
Текст письма:
   • %Заменитель символов 1% give you the W32.Elkern removal tools
     W32.Elkern is a dangerous virus that can infect on Win98/Me/2000/XP.

     For more information,please visit http://www.%Заменитель символов 1%.com
Тема: W32.Klez.E removal tools
Текст письма:
   • %Заменитель символов 1% give you the W32.Klez.E removal tools
     W32.Klez.E is a dangerous virus that spread through email.

     For more information,please visit http://www.%Заменитель символов 1%.com
От: postmaster@%Домен получателя%
Тема: Undeliverable mail--%случайные слова%
Текст письма:
   • The following mail can't be sent to:
      %Электронный адрес получателя%

     From: %Электронный адрес отправителя%
     To: %Электронный адрес получателя%
     Subject: --%случайные слова%
     The file is the original mail
От: postmaster@%Домен получателя%
Тема: Returned mail--%случайные слова%
Текст письма:
   • The following mail can't be sent to:
      %Электронный адрес получателя%

     From: %Электронный адрес отправителя%
     To: %Электронный адрес получателя%
     Subject: --%случайные слова%
     The file is the original mail
Тема: A (very/special) %Заменитель символов 2% game
Текст письма:
   • (Hello,/Hi,) This is a (very/special) %Заменитель символов 2% game
     This game is my first work.
     You're the first player.
     I %Заменитель символов 3% you would %Заменитель символов 4% it.
Тема: A (very/special) %Заменитель символов 2% website
Текст письма:
   • (Hello,/Hi,) This is a (very/special)%Заменитель символов 2% website
     I %Заменитель символов 3% you would %Заменитель символов 4% it.
Тема: A (very) good/powerful tool
Текст письма:
   • (Hello,/Hi,) This is a (very) good/powerful website
     I %Заменитель символов 3% you would %Заменитель символов 4% it.
Тема: A IE 6.0/WinXP patch
Текст письма:
   • (Hello,/Hi,) This is a IE 6.0/WinXP patch.
     I %Заменитель символов 3% you would %Заменитель символов 4% it.

Тема:
Тема письма иногда может оставаться пустой.
Тема письма составляется следующим образом:

    Иногда имеет в начале следующее:
   • Fw:
   • Re:

    Иногда содержит в конце одну из следующих строк:
   • Hi,%пользовательская часть электронного адреса получателя%,
   • Hello,%пользовательская часть электронного адреса получателя%,

    Иногда содержит в конце одну из следующих строк:
   • Have a
   • Happy

   • how are you
   • let's be friends
   • darling
   • so cool a flash,enjoy it
   • your password
   • honey
   • some questions
   • please try again
   • welcome to my hometown
   • the Garden of Eden
   • introduction on ADSL
   • meeting notice
   • questionnaire
   • congratulations
   • sos!
   • Christmas
   • New year
   • Saint Valentine's Day
   • Allhallowmas
   • April Fools' Day
   • Lady Day
   • Assumption
   • Candlemas
   • All Souls'Day
   • Epiphany

   • japanese girl VS playboy
   • look,my beautiful girl friend
   • eager to see you
   • spice girls' vocal concert
   • japanese lass' sexy pictures

Тело:
– В некоторых случаях может быть пустой.

%Заменитель символов 1% распространяется на одну из следующих позиций:
   • Symantec
   • Mcafee
   • F-Secure
   • Sophos
   • Trendmicro
   • Kaspersky

%Заменитель символов 2% распространяется на одну из следующих позиций:
   • new
   • funny
   • nice
   • humour
   • excite

%Заменитель символов 3% распространяется на одну из следующих позиций:
   • wish
   • hope
   • expect

%Заменитель символов 4% распространяется на одну из следующих позиций:
   • like
   • enjoy

Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:

– Начинается одним из следующих:
   • %существующий файл или папка%

    Одно из следующих расширений файла:
   • .exe
   • .scr
   • .pif
   • .bat

– Начинается одним из следующих:
   • %существующий файл или папка%

    Одно из следующих расширений файла:
   • .txt
   • .htm
   • .html
   • .wab
   • .asp
   • .doc
   • .rtf
   • .xls
   • .jpg
   • .cpp
   • .pas
   • .mpg
   • .mpeg
   • .bak
   • .mp3
   • .pdf

Письмо могло бы выглядеть следующим образом:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
• .txt; .htm; .html; .wab; .asp; .doc; .rtf; .xls; .jpg; .cpp; .pas;
.mpg; .mpeg; .bak; .mp3; .pdf

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующую сетевой ресурс общего доступа:
• %все папки общего доступа%

Процесс инфицирования:
Загруженный файл сохраняется на удаленном компьютере в следующем виде: %существующий файл или папка%

.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf

.exe
.scr
.pif
.bat
.rar

Завершение процесса Завершение процессов со следующими последовательностями в именах:
   • _AVP32; _AVPCC; NOD32; NPSSVC; NRESQ32; NSCHED32; NSCHEDNT; NSPLUGIN;
      NAV; NAVAPSVC; NAVAPW32; NAVLU32; NAVRUNR; NAVW32; _AVPM; ALERTSVC;
      AMON; AVP32; AVPCC; AVPM; N32SCANW; NAVWNT; ANTIVIR; AVPUPD; AVGCTRL;
      AVWIN95; SCAN32; VSHWIN32; F-STOPW; F-PROT95; ACKWIN32; VETTRAY;
      VET95; SWEEP95; PCCWIN98; IOMON98; AVPTC; AVE32; AVCONSOL; FP-WIN;
      DVP95; F-AGNT95; CLAW95; NVC95; SCAN; VIRUS; LOCKDOWN2000; Norton;
      Mcafee; Antivir; TASKMGR; Sircam; Nimda; CodeRed; WQKMM3878;
      GRIEF3878; Fun Loving Criminal; Norton; Mcafee; Antivir; Avconsol;
      F-STOPW; F-Secure; Sophos; virus; AVP Monitor; AVP Updates;
      InoculateIT; PC-cillin; Symantec; Trend Micro; F-PROT; NOD32

Разное Строка:
Здесь содержится следующая последовательность:
• Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.

About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing

Описание добавил Andrei Gherman в(о) вторник, 9 октября 2007 г.
Описание обновил Andrei Gherman в(о) вторник, 9 октября 2007 г.

Назад . . . .