Sie sind vermutlich noch nicht im Forum angemeldet - Klicken Sie hier um sich kostenlos anzumelden Impressum 
Saufnix  
Sie können sich hier anmelden
Dieses Thema hat 14 Antworten
und wurde 901 mal aufgerufen
 Kuddelmuddel
Reiner Offline




Beiträge: 1.036

23.08.2002 10:39
RE: Virenwarnung! ! Zitat · Antworten

@ALLE

scheinbar kann mich jemand nicht so richtig leiden.

Bekomme schon seid 2 Tagen auf meiner hier angegeben

E-Mailadresse nette Geschenke in Form von

Worm/Klez.E

Wer auch immer der Absender sein sollte. Bin zwar Newbie,

aber weder blond (sorry Tommie ) noch blauäugig.

Also User auf keinen Fall unbekannte E-Mails mit Anhang

öffnen.

Ciao es grüßt ein lachender und Fröhlicher Reiner


Reiner Offline




Beiträge: 1.036

23.08.2002 15:07
#2 RE: Virenwarnung! ! Zitat · Antworten

@Alle

Nachtrag zu besseren Verständniss

Virenbeschreibung




Worm/Klez.E
alias W32/Klez.G, W32/Klez.H@mm

Die neue Variante des Worm/Klez kopiert sich als WINKxxx.EXE (’xxx’ = zufällig gewählte Buchstabenkombination) in das Windows Systemverzeichnis und legt folgenden Key in der Registry an:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Winkxxx=C:WindowsSystemWinkxxx.exe

Worm/Klez.E kopiert sich wahllos in verschiedene Verzeichnisse sowie Unterverzeichnisse auf allen lokalen Laufwerken, sowie alle gesharte Netzlaufwerken mit Schreib-/Lesezugriff. Diese Dateien haben als Dateiextensions .EXE, .PIF, .COM, .SCR, .RAR, .SCR. In einigen Fällen erzeugt der Wurm auch Doppelextension z.B. “Dateiname.txt.exe“

Der Worm/Klez.E droppt einen neuen Virus in das Programme Verzeichnis (meist Crogramme) und führt diesen aus. Der Dateiname wird mit einer zufällig gewählten Buchstabenkombination erstellt. Bei dem Virus handelt es sich um einen Fileinfektor und wird mit der aktuellen VDF als W32/Elkern.C erkannt.

Klez.E versendet sich als Email mit Hilfe seiner eigenen SMTP Engine. Die Empfängeradressen erhält der Wurm aus Windows Adressbuch oder aus Dateien mit der Extension .HTM, .HTML, .DOC, .XLS, .BAT, .TXT, .SCR, .CPP, .C, .BAK. Die Betreffzeile einer solchen Email kann folgendermaßen aussehen:

powful
WinXP
IE 6.0
new
funny
nice
humour
excite
Symantec
Mcafee
F-Secure
Kaspersky
Sophos
Trendmicro
W32.Elkern
W32.Klez.E

Die Betreffzeile kann auch Variieren. So kann der Betreff der Email auch wie folgt aussehen:

a new new game

oder

nice path

oder

a powerful new website

oder

a IE 6.0


Worm/Klez.G erstellt eine HTML-Mail, die eine base64 enkodierte Kopie von sich selbst enhält. Beim Email-Empfang führt sich Klez.E aus, auch wenn dieser nicht aktiv geöffnet wird, sondern nur in der Vorschau angezeigt wird. Dies Betrifft I.E.-basierten E-Mail-Clients (z.B. Microsoft Outlook).



weitere Virenbeschreibungen
Virenkunde

Also Bitte Festplatte auf Viren scannen

Ciao Reiner


tommie Offline




Beiträge: 10.596

23.08.2002 16:30
#3 RE: Virenwarnung! ! Zitat · Antworten

Hi,

"Norton Anti Virus 2002" erkennt und isoliert diesen unangenehmen Wurm automatisch, zeigt dies auch an. Dieser "W32.Klez.H@mm" ist momentan sehr verbreitet und taucht bei mir mindestens 1 mal pro Tag in irgendwelchen Massenmails auf.
Es gibt auch ein Tool "dagegen", ich suche gerade noch und schreibe hier dann den Link hinein.

tommie


tommie Offline




Beiträge: 10.596

23.08.2002 17:04
#4 RE: Virenwarnung! ! Zitat · Antworten

Der Link zum Tool:
GEGEN DIVERSE WÜRMER .

Ich habe den FixKlez schon selbst angewendet, er funktioniert einwandfrei und ist kostenlos. Ebenso FixGoner und AntiNimbda. Ihr müßt euch nur ganz genau an die jeweilige Anleitung halten.
...........................................................
Zum Wurm selbst auch von mir noch ein paar gesammelte Infos:

W32.Klez.H@mm:
Alias:
I-Worm.Klez.H, Klez.G (Trend Micro)

Art:
Massenmailer-Wurm.
Betriebssystem:
Microsoft Windows .
Verbreitung:
mittel.
Risiko:
bei Ausführung des Attachments: mittel.
Schadensfunktion:
Beenden von verschiedenen Viren-Schutzprogrammen.
bekannt seit: April 2002.
Tools:
Entfernungs-Programm FixKlez (kostenlos).
W32.Klez.H@mm ist eine modifizierte Form von W32.Klez.E@mm. Diese Variante ist in der Lage sich über Netzwerkfreigaben zu verbreiten. Außerdem können Dateien infiziert werden.

Bei der Verbreitung über E-Mail nutzt er eine Sicherheitslücke in Microsoft Outlook und Outlook Express. Mit dieser Sicherheitslücke wird der Wurm sofort aktiviert, wenn die E-Mail gelesen wird, oder wenn die AutoVorschau aktiviert ist.
Der Wurm sucht nach E-Mail-Adressen im Windows Adressbuch, in der ICQ-Datenbank und in lokalen Dateien.
Die Betreffzeile der E-Mail ist zufällig:

Undeliverable mail--"[Random word]"
Returned mail--"[Random word]"
a [Random word] [Random word] game
a [Random word] [Random word] tool
a [Random word] [Random word] website
a [Random word] [Random word] patch
[Random word] removal tools
how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures

Dabei ist [Random word] eines der folgenden Worte:

new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky

Der Nachrichtentext der E-Mail ist zufällig.
Der Name der angehängten Datei ist ebenfalls zufällig.
Verbreitung über freigegebene Lauferke:
W32.Klez.H@mm kopiert sich mit einem zufälligen Dateinamen auf freigegebene Laufwerke. Er verwendet dabei zwei Erweiterungen (z.B. Dateiname.txt.exe). Wird diese Datei ausgeführt, wird der entsprechende Rechner infiziert.
Infektion von Dateien:
Zuerst wird eine versteckte Kopie der Originaldatei angelegt. Diese ist verschlüsselt. Danach wird die Originaldatei mit dem Viruscode überschrieben.

Wird der Wurm aktiviert, kopiert er sich mit dem Namen Wink.exe in das Systemverzeichnis von Windows.
Das Systemverzeichnis ist bei verschiedenen Windows Betriebssystemen unterschiedlich (C:WindowsSystem, C:WinntSystem32, ...)

In der Registry werden verschiedene Schlüssel eingetragen, mit denen Klez.H beim Systemstart aktiviert wird:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWink[random characters]

Weiterhin versucht der Wurm verschiedene Prozesse von Viren-Schutzprogrammen zu beenden; ebenso die von den Viren W32.Nimda und CodeRed. Er verhindert den Start von Anti-Virusprogrammen und löscht deren Checksummendateien:

Anti-Vir.dat
Chklist.dat
Chklist.ms
Chklist.cps
Chklist.tav
Ivb.ntz
Smartchk.ms
Smartchk.cps
Avgqt.dat
Aguard.dat

Viren-Schutzprogramme erkennen W32.Klez.H@mm ab April 2002.

Entfernungs-Programm:
Von Symantec wird ein spezielles Entfernungs-Programm für W32.Klez.H@mm zum kostenlosen Download bereitgestellt.


Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Erweiterung COM, EXE, BAT) oder anderer Dateien, die Programmcode enthalten können (Erweiterung DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
............................................................

Bei meinem Windows-PC schützte ich mich mit "Norton Anti Virus 2002", dieses Programm erkennt und isoliert den Wurm. Beim Linux-PC habe ich damit keine Probleme.

tommie


Reiner Offline




Beiträge: 1.036

23.08.2002 20:52
#5 RE: Virenwarnung! ! Zitat · Antworten

Hi-Tommie,

Vielen Dank für die Bereitstellung des Links. Ich persönlich hatte dieses Tool schon mal auf meinem Rechner und habs vor 3 Wochen gelöscht weil ich's nicht gebraucht habe. Man kann ja nicht alles aufheben Habe gestern den Klez geöffnet weil er als Absender meine E-Mail Adr. hatte
Die Nacht ging dann gar nicht's mehr am Rechner. Bin mit
AntiVir drüber er hat 28 Viren gefunden und gelöscht und ich glaubte es hat sich erledigt.Habe vorhin mit Fixklez
geprüft und es waren immer noch welche drauf. Erst beim zweiten Durchlauf war dann nix mehr.

Schönen Abend noch wünscht Reiner


tommie Offline




Beiträge: 10.596

23.08.2002 21:04
#6 RE: Virenwarnung! ! Zitat · Antworten

Hi Reiner,

das fiese an dem Ding: der Wurm setzt die Virenschutz-Software teilweise oder ganz ausser Funktion. Das mußt du bedenken !

Bei den meisten Virenschutzprogrammen wird empfohlen ( vom Hersteller selbst ), nach dem Entfernen eines W32.Klez die Virenschutz-Software NEU zu installieren. Bei "Norton AntiVirus 2002" weiss ich das mit Sicherheit, ich mußte es selbst schon tun - und es hat auch funktioniert. Seitdem werden die Biester vom Programm verschreddert.

tommie


Burkhard Tomm Bub Offline



Beiträge: 214

25.08.2002 11:58
#7 RE: Virenwarnung! ! Zitat · Antworten

Hallo !

Nach Empfang und endgültiger Löschung
einer seltsamen Mail, will dauernd ein
Programm namens "winkfl.exe" ins Internet,
was meine firewall aber verhindert.
Ist das ein normales Programm, oder hat mir
das jemand reingeschmuggelt ? (Dann tät ichs
löschen.)
Es hat 86 kb und war als versteckt, Archiv und
schreibgeschützt attribuiert.

Falls jemand was hilfreiches weiss,
würde ich mich freuen.

MfG: TOM


reiner Offline




Beiträge: 1.036

25.08.2002 12:39
#8 RE: Virenwarnung! ! Zitat · Antworten

Hi-Burkhard,
ich hoffe Dir mit dem Link weiterhelfen zu können.http://www.zdnet.de/itsupport/virencente...17zd_01-wc.html
Schätze mal es ist eine Version des Klez.
Dazu obiger Link von Tommie. Aber ganz sicher bin ich mir nicht.
mir hat das Tool geholfen.(fixklez) Aber genau nach Anweisung ausführen.(abges.Modus)

bis bald Reiner


tommie Offline




Beiträge: 10.596

25.08.2002 13:08
#9 RE: Virenwarnung! ! Zitat · Antworten

Hi TOM,

diese "winkfl.exe" scheint ein Tool zu sein, das sich installieren will. Ich habe meine PC' s danach durchsucht und sie nicht gefunden.
Am besten gehst du folgendermassen vor:
durchsuche deinen PC mit Hilfe der "Start-Suchen-Nach Dateien.." nach dieser Datei. Falls sie nur im Mailordner und/oder in den Temp.Files auftaucht, dann löschen. Prinzipiell würde ich dir raten, Dateien, die sich auf einmal von selbst installieren möchten zu löschen.
So mache ich das jedenfalls. Es handelt sich dabei entweder um nutzloses Zeugs oder Würmer.

Nachtrag:
Der neue Computerwurm WORM_KLEZ.G ist eine Variante des bereits bekannten Massmailers WORM_KLEZ.A. Die aktuell kursierende Version unterscheidet sich durch die vorhergehenden dadurch, dass sie bei Ausführung des Attachments eine Kopie von sich namens "WINK*.EXE" im Windows Systemverzeichnis schreibt.

Auf jeden Fall den FixKlez verwenden, die Datei NICHT ausführen !!!

tommie


reiner Offline




Beiträge: 1.036

25.08.2002 13:21
#10 RE: Virenwarnung! ! Zitat · Antworten

Guten Morgen Tommie,


Wer länger schläft ist ausgeruht, aber nicht immer der
Erste

zum besseren verständnis noch einen

Einen wunderschönen Sonntag wünscht Reiner


Burkhard Tomm Bub Offline



Beiträge: 214

25.08.2002 13:30
#11 RE: Virenwarnung! ! Zitat · Antworten

Hallo Tommie !

Dank für den Tipp.
... Ja genau, ins Windows-System hat
sich die Datei gehängt.
Nicht ausführen ... hm, tja, ich
denke, die führt sich dauernd selbst aus.
Sie will ja auch "nach draussen telefonieren"
nur mein wall lässt sie nicht.
Einfaches Löschen geht nicht
(da permanent "in Gebrauch").
Werde jetzt die Empfohlenen Massnahmen treffen.

MfG: TOM


reiner Offline




Beiträge: 1.036

25.08.2002 13:32
#12 RE: Virenwarnung! ! Zitat · Antworten

@burkhard,

nimm das Tool (fixklez)

und Ruhe ist.

Ciao Reiner


tommie Offline




Beiträge: 10.596

25.08.2002 13:40
#13 RE: Virenwarnung! ! Zitat · Antworten

Schliesse mich Reiner an.
Nimm FixKlez.com.
Hier noch einmal der Link:

FixKlex

tommie


Burkhard Tomm Bub Offline



Beiträge: 214

25.08.2002 17:08
#14 RE: Virenwarnung! ! Zitat · Antworten

Hallo !

Danke- das hat geholfen.
Scheint wieder alles sauber zu sein.

Das mail kam übrigens von ganz jemand
anders, den ich von wer-weiss-was her
kenne, der Anhang war als Bild (!)
getarnt (ein gif glaube ich).

Nochmals Danke und
mfG: TOM


Reiner Offline




Beiträge: 1.036

25.08.2002 17:34
#15 RE: Virenwarnung! ! Zitat · Antworten

@Burkhard

Noch'n Tipp
Scheint wieder alles sauber zu sein.
Im Momment ja. Hatte auch alles sauber, doch trotzdem hatte
ich glaube noch 4 Mails mit Klez. Hab sie natürlich sofort gelöscht, aber er wird es wieder versuchen da er Deine Adresse hat.Ich z.B. bin drauf reingefallen als ich eine Mail bzw. Anhang geöffnet habe die meinen eigenen Absender trug.Im übrigen verfahre ich so: Einmal "Fixklez" drüber,
Rechner booten und nochmal drüber bis die Meldung erscheint: Neither W32.klez gen......were fond your com
Vieleicht hilft's cia Reiner


 Sprung  
disconnected Saufnix-Chat Mitglieder Online 0
Xobor Einfach ein eigenes Forum erstellen
Datenschutz