Zitat:
Der erstmals am 26.10.2001 entdeckte Virus W32/Klez liegt mittlerweile in der 8. Variante vor. Anscheinend kommt es in Mode bereits bekannte Viren so zu modifizieren, dass eine ernsthafte Bedrohung vorliegt. Einige Varianten dieses Virus waren nämlich wenig verbreitet und wurden als harmlos eingestuft. Leider trifft dies auf Variante H nicht zu.
W32/Klez.h hat einige Ähnlichkeiten mit bereits bekannten Varianten:
1. Die Ausnutzung der als "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment Vulnerability" bekannten Sicherheitslücke vom Microsoft Internet Explorer 5.01 oder 5.5 ohne Service Pack 2 (SP2).
2. Die Fähigkeiten die Absenderadresse zu fälschen, sodass der Verdacht auf eine ahnungslose (oder auch bekannte) Adresse gelenkt werden könnte.
3. Die Fähigkeit einige laufende Prozesse, wie Virenscanner zu beenden.
Die Virenscanner werden anhand folgender Textstrings aufgespürt: _AVP32 _AVPCC, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, NAV, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVWNT, ANTIVIR, AVPUPD, AVGCTRL, AVWIN95, SCAN32, VSHWIN32, F-STOPW, F-PROT95, ACKWIN32, VETTRAY, VET95, SWEEP95, PCCWIN98, IOMON98, AVPTC, AVE32, AVCONSOL, FP-WIN, DVP95, F-AGNT95, CLAW95, NVC95, SCAN, VIRUS, LOCKDOWN2000, Norton, Mcafee und Antivir
Der Wurm kann sich über ein vorhandenes Netzwerk verbreiten, in dem er sich nach Netzwerk-Freigaben kopieren kann, vorausgesetzt ausreichende Rechte sind vorhanden. Die Namen der Zieldateien werden zufällig gewählt und können entweder eine einfache oder doppelte Dateierweiterung haben. Z.B.:
350.bak.scr
bootlog.jpg
user.xls.exe
Der Wurm ist auch in der Lage sich in RAR-Archive zu kopieren, z.B.:
HREF.mpeg.rar
HREF.txt.rar
lmbtt.pas.rar
Der Wurm versendet sich an Adressen des Windows Adressbuchs und Adressen die aus Dateien auf dem PC des Opfers gefiltert werden:
Betreff: A very funny website
oder Betreff: 1996 Microsoft Corporation
oder Betreff: Hello,honey
oder Betreff: Initing esdi
oder Betreff: Editor of PC Magazine.
oder Betreff: Some questions
oder Betreff: Telephone number
Der Name des Dateianhangs wird ebenfalls zufällig gewählt:
ALIGN.pif
User.bat
line.bat
Durch die Nutzung der weiter oben erwähnten Sicherheitslücke des Internet Explorers 5.1 und 5.5 ohne Service Pack 2 genügt zur Infizierung bereits das Öffnen des Emails oder die Ansicht mit Vorschau.
Sollten Sie Emails mit folgendem Aussehen erhalten, löschen Sie diese umgehend:
|
Na in dem Sinne, keine Absicht. Trotzdem wären Virenscanner der auch die Mails überwacht recht sinnvoll bei klausi 
|