Win32/Klez.worm.E - wer weiß...?

hallo !

wer weiß, wo man ein tool zum entfernen des wurms bekommen kann ?

Variante; Klez.e

Alias: Stemdil

Klez.e ist eine neue Variante, die am 17.01.2002 gefunden wurde. Der Autor bezeichnet sie als Version 2.0. Sie enthält einige
neue Funktionen.

1. Der Wurm installiert sich im Windows System-Verzeichnis unter dem Namen

WINKxxx.EXE

Dabei sind xxx 2 oder 3 zufällig gewählte Buchstaben. Er trägt einen Auto-Start Key für diese Datei in der Registry.

2. Der Wurm besitzt nun auch Virus-Eigenschaften. Er infiziert EXE-Dateien, indem er seinen Code anhängt. Klez.e generiert
eine temporäre Datei mit dem gleichen Namen, aber einer anderen Extension.

Der Wurm verschlüsselt den Kopf von infizierten Dateien. Wird eine infizierte Datei aufgerufen, dekomprimiert er eine saubere
Wirts-Datei mit dem gleichen Namen wie die infizierte Datei, die die Extension MP8 besitzt und aufgerufen wird. Folgende
Dateien werden nicht infiziert:

EXPLORER
CMMGR
MSIMN
ICWCONN
WINZIP

3. Klez.e kann sich in Netzwerken ausbreiten. Er untersucht die Netzwerk Resourcen und kopiert jeweils zwei Exemplare
seines Codes in Remote-Laufwerke. Ein Exemplar ist eine ausführbare Datei mit einer oder zwei Extensions. Die zweite Datei
ist ein RAR-Archiv, das ebenfalls ein oder zwei Extensions besitzt. Der Namen der RAR-Archive wird der folgenden Liste
entnommen:

setup
install
demo
snoopy
picacu
kitty
play
rock

Die erste Extension wird der folgenden Liste entnommen:

.txt
.htm
.html
.wab
.doc
.xls
.jpg
.cpp
.c
.pas
.mpg
.mpeg
.bak
.mp3

Die zweite Extension wird aus der folgenden Liste ausgewählt:

.exe
.scr
.pif
.bat

Der Name des RAR-Archivs wird entweder zufällig gewählt oder von einer Datei, die sich auf dem betreffenden System
befindet.

4. Der Wurm sucht Tasks von Anti-Viren und Sicherheitsprogrammen ebenso wie andere MalWare wie Nimda, Sircam,
Funlove und CodeRed. Klez.e sucht nach folgenden Zeichenketten:

Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32

Weiterhin beendet der Wurm folgende Prozesse:

_AVP32 _AVPCC NOD32 NPSSVC NRESQ32 NSCHED32
NSCHEDNT NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32
NAVRUNR NAVW32 _AVPM ALERTSVC AMON AVP32
AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD
AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95
ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98
AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95
CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton
Mcafee Antivir TASKMGR

5. Klez.e entfernt in der Registry Autostart Keys von Anti-Viren und Sicherheitsprogrammen. Dadurch können diese
Programme beim nächsten Start von Window nicht mehr aktiv werden.

6. Der Wurm manipuliert die Dateien von Prüfsummen-Programmen und Integrity Checkern, die einen der folgenden Namen
tragen:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT

7. Der Wurm besitzt einen Dropper für eine neue Variante von Elkern (Version 1.1).

Der Wurm kann ausführbare Binär-Dateien und Daten-Dateien beschädigen.

Der Wurm enthält folgenden Text, der nie angezeigt wird:

Win32 Klez V2.0 Win32 Elkern V1.1,
(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious
virus,Funlove,Sircam,Nimda,CodeRed and even include W32.Klez 1.X.
2.Well paid jobs are wanted
3.Poor life should be unblessed
4.Don\'t accuse me.Please accuse the unfair sh*t world

10. Infizierte E-Mails von Klez.e werden aus verschiedenen Teilen zusammengesetzt. Beispiele:

The attachment is a very dangerous virus that spread trough e-mail
The file is a special dangerous virus that can infect
on Win98/Me/2000/XP.

Abhängig vom Datum werden auch Grüße wie

Happy Christmas
Happy New Year

eingefügt.

Die Empfänger von infizierten E-Mails werden dem Windows Adressbuch und der ICQ-Datenbank entnommen.

Der Wurm benutzt eine eigene SMTP-Routine.

danke für schnelle tips !

grüße, sky

 

danke ghost rider,

spät reagiere, sorry.
muß mir mal solche notfall-links zusammen stellen.

dir wurmfreie zeit wünsche, sky

 

hi betasoft,

sorry, daß ich mich so spät melde, dennoch vielen dank !
interessanter link.
grüße, sky

 

hi juve,

danke
den bitdefender gefunden hatte - sorry für späte antwort.

grüße, sky

 

High sky,

schätze mal, daß du kein Problem mehr hast
In weiser Voraussicht folgende Adresse besuchen

http://www.bitdefender.com/html/free_tools.php

All what you need...........

Gruß Juve

 

Hallo, hier ist BETASOFT GmbH aus Augsburg.
Wir hatten selbiges Problem.
Gehe auf die Internetseite der http://www.tu-berlin.de
dort mit Button "SUCHEN", anschließend Begriff "Virenscanner" eingeben. Als erstes Thema kommt Beschreibung KLEZ in den verschiedenen Varianten. Es sind 4 Firmen zur Bekämpfung angegeben, einem Programm (weiß ich jetzt nichtmehr) kannst Du direkt von der Seite der TU-Berlin den Virus finden und Entfernen. Das geht alles automatisch und natürlich kostenlos. OKAY

Viele Grüße
BETASOFT GmbH aus Augsburg
Geschäftsleitung

 

Hallo sky,

hier auch noch eine URL:

http://www.trojanerinfo.de

Da findest Du auch was zum Wurm.

mfg ghostrider

 

vielen dank
sorry für die späte reaktion.
bei symantec hatte ich auch gesucht aber nichts gefunden.

merci nochmals + grüße, sky

 

http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.removal.tool.html

 

Hier z.B.:
http://www.rokopsecurity.de/main/download.php?op=viewdownload&cid=3
P.S.: Das nächste mal bitte nur ein Auszug der Beschreibung