Klez-Virus und Board-Nicks...
 

Mich deucht, ein Schlaumeier mit der Adresse 520009402471-0001@t-online.de versucht, den aktuellen Klez mithilfe von Nicks von Teilnehmern unseres Boards zu verteilen. In den letzten Tagen erhielt ich diverse emails, unter anderem angeblich von present99 und ecxytee, die mit dem Virus verseucht waren.

Der Witzbold verschickt alle emails mit der o.g. t-Online-Addy (bis ich *das* erstmal geschnallt hab :rolleyes: ) und hängt einfach verschiedene Namen dahinter.

Ich weiß nicht, ob ich das richtige Forum dafür gefunden habe, aber dachte mir, es sei von Interesse. :)

ich habe ebenfalls von Lomo Devil und Razy solche Mails erhalten...:D

Ich hab bis vor kurzem auch solche Mails bekommen, und das in Massen. Aber dann hab ich an die oben genannte Adresse eine Wüste Mail geschrieben, und ich hab keine mehr bekommen :) Ich weiss zwar nicht, ob das richtig war. Aber ich denke es ist nicht allzu gefährlich, da ich meine Mails direkt von GMX öffne.

*aufklär*

Der Klez-Virus sucht sich beliebige Namen aus Outlook, ICQ und anderen Windows-Kontakten heraus und verschickt sich selbst unter diesem Namen weiter.

Ich habe den Virus bisher genau 64 mal bekommen unter anderem "von" Sammy, Sven, Gersultan, present, Sternchen, Susiebond, Excytee, Mitdaun, etc :D

Scheisse, hastes doch bemerkt! :D

Iss mir auhc schon aufgefallen, dass die alle von dieser Adresse kommen.Daher hab ich auch bei Outlook eingestellt, dass emails von dieser Adresse mir nciht in die Mailbox kommen :D

Aber, dass die mails hauptsächlich von membern de sBoards kommen sieht mir nciht so aus - ich hab die täglich bekommen, und nur ein sehr kleiner Bruchteil war von membern des Boards...

Ja, schon recht, Herr Chef :)
Mir ging's hierbei ja speziell um diesen Tonnlein-Hirni ;)

Ähm, wenn es mir nochmal jemand erklären könnte :shy:
Wenn ich jetzt so 'ne Mail von Excytee bekomme und erkenne, daß es sich um eine Virus-Mail handelt, heißt das, daß ich oder daß Excytee den Virus hat?

Nein! Bei mir wurde er bisher glücklich jedesmal von Norton geblockt...

Was ist das eigentlich fürn virus will eigentlich nur wissen wasser macht fallser doch mal durchkommt....

@Razy von welcher E-Mail addy den von mir:confused:
Da ich selber mal von mir Post bekommen habe die addy ist aber schon etwas länger aufgelöst.

:lol: <520009402471-0001@t-online.de> ... 550 Mailbox quota exceeded / Mailbox voll.>

... Hatte dem Wicht eine email geschickt, mich doch bitte in Ruhe zu lassen :D

Ich hab wirklich nicht die große Ahnung, aber man hat mir gesteckt, daß ich spätestens in einem ungeraden Monat (also Mai, in diesem Fall) erfahren werde, ob ich diesen Virus - trotz aller Nortons und hastenichtgesehen - habe, da er dann diverse Dateien überschreiben und somit unbrauchbar machen wird. Ob nun infiziert oder nicht, ein backup vitaler Daten lohnt sich allemal - reparieren kann man die Sachen dann ja vielleicht später, *nach* der Neuinstallation des OS ;) *schauder*

hmm ungeraden diesen Monats:confused:
*systemzeit einen monat vorstell:D*

also ich bekomm nie Mails mim Klez

Buhu, alle kriegen wieder Virenmails nur ich nicht.
Is nicht so, dass ich welche will aber es geht ums Prinzip :rolleyes:

Nach dem Motto, 'keine Viren keine Freunde'?? :lol: ;)

So in etwa ;) :)

Immer wenn wieder ne Viruswelle unterwegs is,wer kriegt keinen?me :D

Er schickt ihn dir doch garnicht mit Absicht !

Wird WORM_KLEZ.E ausgeführt, dekodiert er seine Daten in den Speicher. Danach kopiert er sich in eine WINK*.EXE im Systemverzeichnis, wobei * für eine zufällige Anzahl von Zeichen steht.

Er erstellt folgenden Registry-Eintrag, mit dem er bei jedem Systemneustart aktiv werden kann:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/
CurrentVersion/Run, Wink*, "wink*.exe

Ähnlich dem WORM_KLEZ.A besitzt er verschiedene Verbreitungs- und Schadteilmöglichkeiten:

Plazieren des PE_ELKERN.B:

PE_ELKERN.B schreibt sich immer wieder in die Datei WQK.EXE in das Systemverzeichnis. Außerdem werden kontinierlich folgende Registry-Einträge vorgenommen:

Auf WIN 9x Systemen schreibt sich PE_ELKERN.B in die Datei WQK.EXE in das Systemverzeichnis und erstellt den Registry-Eintrag:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun, WQK = ô%system%wqk.exeö

Auf WIN 2000 Systemen schreibt er sich in die WQK.DLL und erstellt den Registry-Eintrag:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NT
CurrentVersionWindows, AppInit_DLLs = Wqk.dll


Beide haben als Attribute: hidden, system sowie read-only. Diese Dateien werden von der TREND MICRO Produktpalette als PE_ELKERN.B detektiert.

Infektion via Netzwerk:

Über freigegebene Verzeichnisse mit Lese/Schreibzugriff kann eine Verbreitung stattfinden. Dazu scannt der Computerwurm das gesamte Firmennetzwerk nach diesen Verzeichnissen, in die er Kopien von sich mit einer der folgenden Extensionen anlegt:

EXE
PIF
COM
BAT
SCR
RAR
Manchmal wird auch eine Doppelextension benutzt, deren erste eine aus der folgenden Liste ist:

MP8
EXE
SCR
PIF
BAT
TXT
HTM
HTML
WAB
DOC
XLS
CPP
C
PAS
MPQ
MPEG
BAK
MP3
Die zweite wird dann aus diesen gewählt:

EXE
PIF
COM
BAT
SCR
RAR
eMail-Verbreitung:

Zur Verbreitung benutzt er einen SMTP-Server, den er aus dem Domänen-Namen der eMail-Adresse des Absenders erstellt. Wenn z.B. der Absender any_user@somewhere.com lautet, dann benutzt er smtp.somewhere.com zum versenden der eMail. Er schickt SMTP-Befehle an diesen SMTP-Server um die eMail zu erstellen und zu versenden.

Zur Empfänger-Adressen-Gewinnung gibt es verschiedene Möglichkeiten:

Windows Adressverzeichnis

Extraktion aus folgenden Dateien des infizierten Systems: MP8, EXE, SCR, PIF, BAT, TXT, HTM, HTML, WAB, DOC,.XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK und MP3. Daraus werden die Empfangsadressen generiert.
Die Absendeadresse wird aus einer im Wurm enthaltenen Liste gewählt:

pw246@columbia.edu
queen@helix.com.hk
yaya@wfc.com.tw
atoz@2911.net
anti@helix.com.hk
graph@helix.com.hk
street@verizon.net
sani@2911.net
santurn@verizon.net
andy@verizon.net
little@hitel.net
gigi@helix.com.hk
bet@helix.com.hk
lily@88win.com
sun@verizon.net
linda@verizon.net
raise@wfc.com.tw
rainrainman@hongkong.com
karala@hongkong.com
sammychen@wfc.com.tw
flywind@wfc.com.tw
suck@wfc.com.tw
urlove@wfc.com.tw
utu@88win.com
cheu@2911.net
xyz@2911.net
pet@2911.net
girl@edirect168.com
littlecat@hongkong.com
panshugang@chinese.com
pipti@21cn.com
certpass@21cn.com
powerhero@263.net
CR7269CH@terra.es
RUBENSOTOAGUI@terra.es
ACAMDR@terra.es
ROSANAMOLTO@terra.es
MANUEL23@terra.es
christian_soto@terra.es
carlos_nuevo@terra.es
Die Betreffzeile der eMail wird aus einer Liste ausgewählt:

· how are you
· let s be friends
· darling
· don t drink too much
· your password
· honey
· some questions
· please try again
· welcome to my hometown
· the Garden of Eden
· introduction on ADSL
· meeting notice
· questionnaire
· congratulations
· japanese girl VS playboy
· look,my beautiful girl friend
· eager to see you
· spice girls vocal concert
· japanese lass sexy pictures


Der Text im entschlüsselten Wurm:

Win32 Klez V2.0 & Win32 Elkern V1.1, (There nickname is Twin Virus *^__^*
Copyright, made in Asia, announcement:
1. I will try my best to protect the user from vicious virus, Funlove,Sircam,Nimda,Codered, and even include W32.Klez.1.X
2. Well paid jobs are wanted.
3. Poor life should be unblessed.
4. Don"t accuse me, please accusse the unfair sh*t world.


Dann wird ein HTML-formatiertes eMail generiert mit zufällig erstelltem Attachmentnamen.

Das empfangene eMail muiss nicht aktiv geöffnet werden! Es wird eine bekannte Sicherheitslücke von IE-basierten eMail-Clients genutzt (Automatic Execution of Embedded MIME type), die es ermöglicht, Attachments automatisch zu öffnen. Das Attachment erscheint als audio/x-wav oder audio/x-midi, d.h. beim Öffnen startet ein Audio-Player.

Deaktivierung von AV-Programmen:

Der Computerwurm beendet Prozesse - in einigen Fällen löscht er die Ausführdateien von Programmen mit folgenden Namen, oder u.a. strings:

_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR2
Folgende Dateien werden gelöscht, falls sie auf dem infizierten System gefunden werden:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT
Verschleierung:

Auf WIN 95/98 Systemen registriert sich der Wurm als Serviceprozess, so daß er nicht in der Task-Leiste erscheint. Auf WIN 2000 Systemen registriert er sich als sog. Service Control Dispatcher.

Wichtig:

WORM_KLEZ.E läuft nicht auf NT 4.0 Systemen, oder ihren Vorgängern!

Ich benutz win 2.7, meint ihr der läuft da auch? :confused:

? win2.7 ????

ich hab' kein Virenprogramm, bekomme aber täglich sicher zwischen 5 und 10 Solcher Emails.

gibts einen weg rauszufinden ob man infiziert ist?

(ausser in der Registry- da bin ich nich so der experte
:rolleyes:

Trend PC-Cillien 2000 ist gratis.
Saugen, updaten, scanen!

Symantec (Norton Antivir-Hersteller) bietet auch ein Gratis-Tool gegen Klez an: HIER

Dabei handelt es sich um das Original-Tool.

@BBMV
Tja, so recht auf die Spur bin ich dem Tonnlein-Typen noch nicht gekommen... Hast Du (oder sonst jemand hier) ne Ahnung, wie man von der numerischen t-Online-Addy auf den Namen kommt? Da der- oder diejenige bis dato nur mit mir unbekannten Absender-Namen oder eben mit Namen von Usern dieses Boards in meinem Postfach aufgetaucht ist, habe ich immer noch den Verdacht, daß er/sie sehr wohl aktiv Virenmails verschickt...

Jetzt schleppt das Teil, in seiner neuesten Variation, auch den CIH (Nein! Nicht den chi :D) Virus mit sich rum....
Und der ist nun wirklich gefährlich!

Und was macht dieser CIH-Virus? *schauder*

und ich mehrmals von allen aus dem Clan und generell vom foren auf denen ich bin :-D

PE_CIH
Risk Rating: Medium
Datum: 19.04.2000
Aliases: CIH, Chernobyl, Win95.CIH, Win32.CIH, W95.CIH V1.2, W95.CIH V1.3, W95.CIH V1.4
Virus Art: Dateivirus
Schädlich: Ja
In The Wild: Ja
Triggerbedingungen: 26. eines jeden Monats
Schadteil: tangiert die Festplatte, zerstört das FLASH BIOS
Pattern Datei: 518 - 100
Scan Engine: 2.062
Sprache: englisch
Plattform: Windows
Verschlüsselung: Nein
Größe: 1 KByte


Dieser Virus, der oft auch CIH, Chernobyl, Win95.CIH, Win32.CIH oder ähnlich genannt wird, triggert an jedem 26. April (jahresunabhängig). Als dieser Virus 1999 aktiv wurde, hat er mehrere hundertausend Rechner beschädigt.
PE_CIH beinhaltet zwei unterschiedliche schädliche Payloads, die beide am 26.04. aktiviert werden:


Zufallsdaten werden auf die Fetplatte geschrieben, so daß eine Datenrettung extrem schwierig wird
PE_CIH versucht zudem durch Zerstören von Daten im Flash BIOS das System selbst zu zerstören

Der Virus kann bis dato noch nicht Win NT - Plattformen infizieren, jedoch *.EXE-Datreien im Win 95/98 - Umfeld. Er wird speicherresident, sobald eine infizierte Datei ausgeführt wird. Um die Infektion zu verschleiern nutzt PE_CIH Leerspace der Zieldateien, so daß die Dateigrößenveränderung minimal und deshalb nur schwer ersichtlich ist. Dadurch daß der Virus auf VXD-Programmierung zurückgreift, kann er nur im Win 95/98 - Umfeld Schaden anrichten.

Ist die infizierte Festplatte durch PE_CIH formatiert, erscheint beim Neustart des Systems folgende Meldung:

DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER

Versucht man dann das System vom Diskettenlaufwerk zu starten, erscheint diese Meldung:

Invalid drive specification since the hard disk has already been overwritten with some random data

Gut zu wissen... Werde nächstes Jahr drauf achten :D
Warum eigentlich ausgerechnet am 26. April?

Hm vielleicht hat er da geburtstag, der Programmierer :)