VIREN-INFORMATIONS-SEITE

NAME: Klez - Achtung! beachten Sie unbedingt diesen Hinweis !
ALIAS: ElKern, Klaz, Kletz, I-Worm.Klez
TYP: Wurm und Virus
Varianten:
Klez.A-Klez.J 		Klez.A
Klez.D
 Klez.E
Klez.F
Klez.G
Klez.H bis Klez.J (bis 16.05.2002 sind die Varianten A-J bekannt)
Herkunft: Ursprünglich Asien (evtl. China oder Hongkong)
Beseitigung Tool zur Beseitigung
(aktualisiert am 23.04.2002 für alle Varianten)
Datum: 26.10.01 / Update 12.11.2001/Update 16.05.2002

Klez ist ein Massen-Mail-Wurm, der den polymorphen EXE-Virus ElKern auf dem System ablegt.

Variante: KLEZ.A

Die E-Mail-Nachrichten, die durch Klez verschickt werden, können in der Betreff-Zeile sehr unterschiedlich sein. 

        Hi
        Hello
        How are you?
        Can you help me?
        We want peace
        Where will you go?
        Congratulations!!!
        Don't cry
        Look at the pretty
        Some advice on your shortcoming
        Free XXX Pictures
        A free hot porn site
        Why don't you reply to me?
        How about have dinner with me together?
        Never kiss a stranger

Es gibt keinen Nachrichtentext und der Name des Anhangs wird nach dem Zufallsprinzip vergeben.

Der Wurm-Teil hat eine versteckte Botschaft an Anti-Viren-Hersteller, die von den meisten E-Mail-Clients nicht angezeigt wird und so den Endanwendern verborgen bleibt:

Auf einigen Systemen kann der Wurm alleine schon durch das Betrachten der infizierten E-Mail aktiviert werden (z.B. bei Systemen mit Outlook und IE 5.0 oder 5.01). Dabei nutzt der Wurm eine bekannt Sicherheitslücke im IE, die die Ausführung eines Anhangs ermöglicht. Die Sicherheitslücke wurde von Microsoft durch einen Patch behoben, der von der Seite
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
heruntergeladen werden kann.

Der Klez-Wurm kopiert sich unter einem Zufallsnamen mit doppelter Endung (z.B. .TXT.EXE) in das Wurzel-Verzeichnis auf dem lokalen Rechner und auf Netzwerk-Laufwerken.

Diese Wurm/Virus-Kombination scheint aus Asien, evtl. China oder Hongkong zu stammen. Erste Infektionen wurden am frühen Morgen des 26. Oktober 2001 ausgemacht.

VARIANTE: Klez.D

Klez.D tauchte am 11.11.2001 erstmals 'in the wild' auf.

Diese Variante hat einige Änderungen im Vergleich zur Vorgänger-Version erfahren. Zu aller erst sucht sie nach E-MAIL-Adressen in der ICQ-Datenbank-Datei des Benutzers. Das bedeutet, dass jeder, der auf der ICQ-Kontaktliste des Benutzers des infizierten Systems steht, potentiell den Wurm erhalten kann.

Der E-MAIL-Teil wurde so verändert, dass die Attachments (Anhänge) nun auch EXE und PIF -Erweiterungen haben können (vorher nur EXE). Wurde der Wurm in das Windows-System-Verzeichnis kopiert, so trägt er nun den Namen 'WinSvc.exe'. der gleiche Namen wird in die Registry eingetragen unter:

'HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinSvc'

(Run-Key)

Diese Version des Wurms versucht Prozesse mit Namen wie 'Nimda', 'CodeRed', 'Code Red', 'CodeBlue', 'Code Blue' aufzuspüren und zu beenden.

In dieser Variante findet sich ein String, der jedoch niemals angezeigt wird:

'I will try my best to kill some virus'
[Ich versuche mein Bestes, um einige Viren zu löschen']

VARIANTE: Klez.E
ALIAS: I-Worm.Klez.E, Stemdil

Klez.E ist eine neue Variante des Klez-Wurms, die zuerst am 17. Januar 2002 entdeckt wurde. Sie trägt die "Version 2.0" aus Sicht des Virenautors und hat einige neue Merkmale im Vergleich zu den älteren Versionen. Allerdings sind einige Programmfehler erhalten geblieben.

Die Unterschiede zu den Vogänger-Varianten sind:

1. Der Wurm installiert sich in das Windows-System-Verzeichnis als WINKxxxx.EXE Datei. Dabei steht 'xxxx' für 2-3 Zufalls-Buchstaben. Er installiert einen Autostart-Key auf diese Datei in der System-Registry.

2. Der Wurm hat nun die Fähigkeit, Dateien zu infizieren. Wenn er eine EXE-Datei infiziert, überschreibt er diese Datei und erstellt eine Kopie mit gleichem Namen, aber zufälliger Endung und den Datei-Attributen 'Versteckt', 'System' und 'Nur-Lesen'. Wenn die infizierte Datei gestartet wird, extrahiert der Wurm das Original-Programm von einer Backup-Datei mit seinem Original-Namen plus 'MP8' und startet es. Nachdem das Programm beendet wurde, löscht er es. Der Wurm infiziert keine Dateien mit folgenden Namen: 

 EXPLORER
 CMMGR
 MSIMN
 ICWCONN
 WINZIP

3. Der Wurm hat die Fähigkeit, sich in Netzwerken auszubreiten. Er ermittelt alle Netzwerk-Resourcen und kopiert sich zweimal auf den entfernten Systemen - einmal als ausführbare Datei mit einfacher oder doppelter Endung, und ein zweitesmal als RAR-Archiv, das ebenfalls ein oder zwei Endungen haben kann. Das RAR-Archiv enthält die ausführbare Datei des Wurms unter einem der folgenden Namen: 

 setup
 install
 demo
 snoopy
 picacu
 kitty
 play
 rock

Die erste Endung des RAR-Archivs oder der ausführbaren Datei des Wurms kann sein: 

 .txt
 .htm
 .html
 .wab
 .doc
 .xls
 .jpg
 .cpp
 .c
 .pas
 .mpg
 .mpeg
 .bak
 .mp3

Die zweite oder einzige Endung des Wurms kann sein: 

 .exe
 .scr
 .pif
 .bat

Das installierte RAR-Archiv und die ausführbare Datei des Wurms ist entweder zufällig oder erhält einen Namen einer Datei, die der Wurm auf dem Rechner entdeckt hat. Somit kann er z.B. sein QQ.PAS.EXE , KERNEL.MP3.PIF, DOCUMENT.SCR und so weiter.

4. Der :Wurm stoppt Prozesse von Anti-Virus und Sicherheits-Software und Prozesse von anderen Würmern - Nimda, Sircam, Funlove and CodeRed. Der Wurm öffnet die Prozesse und sucht nach speziellen Texten in ihnen. Falls er einen solchen Text entdeckt, unterbricht der Wurm diesen Prozess. Der Wurm sucht nach folgenden Texten:

 Sircam
 Nimda
 CodeRed
 WQKMM3878
 GRIEF3878
 Fun Loving Criminal
 Norton
 Mcafee
 Antivir
 Avconsol
 F-STOPW
 F-Secure
 Sophos
 virus
 AVP Monitor
 AVP Updates
 InoculateIT
 PC-cillin
 Symantec
 Trend Micro
 F-PROT
 NOD32

Ausserdem unterbricht der Wurm Prozesse mit folgenden Namen: 

  _AVP32  _AVPCC  NOD32  NPSSVC  NRESQ32  NSCHED32  NSCHEDNT
  NSPLUGIN  NAV NAVAPSVC  NAVAPW32  NAVLU32  NAVRUNR  NAVW32
  _AVPM  ALERTSVC  AMON  AVP32  AVPCC  AVPM  N32SCANW  NAVWNT
  ANTIVIR  AVPUPD  AVGCTRL  AVWIN95 SCAN32  VSHWIN32  F-STOPW
  F-PROT95  ACKWIN32  VETTRAY  VET95  SWEEP95  PCCWIN98  IOMON98
  AVPTC  AVE32  AVCONSOL  FP-WIN  DVP95  F-AGNT95  CLAW95  NVC95
  SCAN  VIRUS  LOCKDOWN2000  Norton  Mcafee  Antivir  TASKMGR

5. Der Wurm beseitigt Autostart-Einträge von Sicherheits- und Anti-Viren-Software in der Registry, so dass beim nächsten Windows-Start diese Software oder Teile davon deaktiviert wird.

6. Der Wurm beinflusst Anti-Viren Prüfdateien und Integritäts-Checker mit folgenden Namen: 

 ANTI-VIR.DAT
 CHKLIST.DAT
 CHKLIST.MS
 CHKLIST.CPS
 CHKLIST.TAV
 IVB.NTZ
 SMARTCHK.MS
 SMARTCHK.CPS
 AVGQT.DAT
 AGUARD.DAT

7. Der Wurm hinterlässt eine neue Version des Elkern-Virus ("Version 1.1" nach zählweise des Virenautors), der auch als Win32.Klez.b bekannt ist.

8. Der Wurm kann binäre ausführbare Dateien zerstören.

9. Der Wurm enthält folgenden Text, der niemals angezeigt wird: 

 Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
 Copyright,made in Asia,announcement:
 1.I will try my best to protect the user from some vicious
   virus,Funlove,Sircam,Nimda,CodeRed and even include W32.Klez 1.X.
 2.Well paid jobs are wanted
 3.Poor life should be unblessed
 4.Don't accuse me.Please accuse the unfair sh*t world

10. Der Wurm enthält eine komplexe Schadfunktion-Routine, die als eigenständiger Thread arbeitet und beständig das Systemdatum abfragt. Falls der Monat ungerade ist (1,3,5,...) und der Tag gleich 6 übergibt er an eine weitere Prüfroutine. Hier überprüft er, ob der Monat 7 (Juli) oder 1 (Januar) ist und setzt dann einen speziellen Flag, falls die Bedingung zutrifft. Dann wird die Haupt-Schadfunktion aktiviert. Er sucht nach allen Dateien auf allen lokalen und Netz-Laufwerken. Falls der Monat nicht 1 oder 7 ist, betrifft die Schadfunktion nur Dateien mit folgender Endung: 

 txt
 htm
 html
 wab
 doc
 xls
 jpg
 cpp
 c
 pas
 mpg
 mpeg
 bak
 mp3

Andernfalls sind alle Dateien betroffen und der Wurm überschreibt die gefundenen Dateien mit Zufallsdaten, wodurch deren Inhalt zerstört wird.

11. E-Mail Nachrichten, die von Klez.E verschickt werden, werden durch sehr komplexe Regeln zusammen gestellt, die eine große Vielfalt an verschiedenen Nachrichten ermöglichen. Er kann Sätze aus verschiedenen Teilen bilden z.B.: 

 'The attachment is a very dangerous virus that spread trough e-mail.'
 'The file is a special dangerous virus that can infect on Win98/Me/2000/XP.'

Zu bestimmten Jahresereignissen werden passende Grüße verschickt: 

 'Happy Christmas'
 'Happy New Year'

Hier einige Bildschirmfotos von Klez.E, wenn er als E-MAil eintrifft:

Genau wie die anderen Varianten von Klez nutzt diese Variante die Sicherheitslücke "Incorrect MIME Header (MS01-020)" aus, die bewirkt, dass Mail-Anhänge automatisch ausgeführt werden, wenn die Nachricht geöffnet wird

(s. http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp)

Empfänger der E-Mails werden aus dem Windows-Adress-Buch oder der ICQ-Benutzer-Datenbank genommen. Der Wurm benutzt seine eigene SMTP-Routine, so dass er ohne E-Mail-Client versenden kann.

Wichtiger Hinweis: Die E-Mail, die mit Klez.E verschickt wurde hat häufig eine falsche Absender-Adresse. Der Wurm übernimmt zufällige Absender-Adressen von Web-Seiten, ICQ-Datenbanken oder Windows-Adress-Büchern. Das bedeutet, dass die E-Mail, die den Klez-Wurm enthält in aller Regel nicht vom Absender stammt, der im Vom-Feld der Mail angegeben ist.
Machen Sie daher den vorgebenen Absender nicht verantwortlich für den Versand des Wurms. Er war es mit fast 100% Sicherheit nicht gewesen, auch wenn er im Absender-Feld steht.

Klez.E wird mit Updates der Virensignaturen vom 17. Januar 2002 erkannt.

VARIANTE: Klez.F
ALIAS: I-Worm.Klez.F

Klez.F ist eine geringfügige Variante von Klez.E und tauchte erstmals im April 2002 im Umlauf auf.

VARIANTE: Klez.G
ALIAS: I-Worm.Klez.G

Klez.G erschien am 29. Januar 2002. Diese Variante ist sehr verwandt mit Klez.E. Der Wurm installiert Elkern Virus 1.1, identisch mit dem Virus, den Klez.E hinterläßt. Nur einige wenige Unterschiede sind zu nennen:

1. Wenn eine infizierte Datei gestartet wird, extrahiert der Wurm die Original-Datei aus einer temporären Datei (erstellt bei der Infizierung) mit seinem Namen und seiner Endung, fügt .EXE hinzu und startet diese Datei. Zum Beispiel laute der temporäre Dateinamen SYSTEM.CLF, dann erstellt der Wurm eine Datei mit dem Namen SYSTEMCLF.EXE mit dem Programmcode der original infizierten Datei und startet sie.

2. Der Autor des Wurms sendet eine Nachricht an Antiviren-Hersteller: 

	2.Pitiful AVers,can't Elkern 1.0 & 1.1 work on Win 2K&XP?Plz clear your eyes.

Es sollte erwähnt werden, dass der Elkern-Virus unter Windows 2000 nur selten funktioniert, da er einen größeren Programmfehler enthält, der ihn normalerweise zum Absturz bringt, kurz nachdem er im Speicher installiert wurde.

Der Wurm zerstört viele System-Dateien (einschließlich DLL und VXD), die häufig das System nach einem Neustart unbrauchbar machen. Die Zerstörung der Dateien geschieht dadurch, dass der Wurm beim Versuch, diese zu infizieren, den Zeit/Datumsstempel der Datei beizubehalten versucht, dieses aber misslingt. Der Wurm unterscheidet beim Speichern dieser Informationen in der EXE-Datei nicht zwischen PE, NE oder LE - Headern. Daher werden NE und LE Header zerstört und die Datei wird normalerweise unbrauchbar.

Wie die Variante Klez.E kann diese Variante sich selbst mit einer leeren Nachricht und einer der folgenden Betreffzeilen versenden: 

	how are you
	let's be friends
	darling
	don't drink too much
	your password
	honey
	some questions
	please try again
	welcome to my hometown
	the Garden of Eden
	introduction on ADSL
	meeting notice
	questionnaire
	congratulations
	sos!
	japanese girl VS playboy
	look,my beautiful girl friend
	eager to see you
	spice girls' vocal concert
	japanese lass' sexy pictures

Der Wurm verschickt manchmal auch Nachrichten, in denen er vorgibt ein Beseitigungs-Tool verschiedener Anti-Viren-Hersteller zu sein, zum Beispiel: 

	Subject: <virusname> removal tools
	Body:
	<virusname> is a dangerous virus that spread through email.
	<av_company_name> give you the <virusname> removal tools

	For more information,please visit http://www.<av_company_name>.com

Dabei wird <av_company_name> ersetzt durch 'Symantec', 'Mcafee', 'F-Secure' oder 'Sophos'. Der <virusname> kann sein 'W32.Elkern' oder 'W32.Klez'.
Starten Sie niemals Dateien aus diesen Anhängen!

Der Wurm gibt manchmal auch vor, ein Spiel zu sein, und sendet sich selbst (üblicherweise als SETUP.EXE) mit der Nachricht:

	This is a special humour game
	This game is my first work.
	You're the first player.
	I expect you would like it.

Dabei können die erste und letzte Zeile variieren. Diese Nachricht wird nur von E-Mail-Clients angezeigt, die den IFrame-Trick ignorieren. Der IFrame-Trick nutzt eine Sicherheitslücke von E-Mail-Clients aus, wodurch Anhänge automatisch gestartet werden können, sobald die Nachricht geöffnet wird.

Der Wurm kann ausserdem "Grüße" an folgenden Feiertagen verschicken:

	Christmas
	New year
	Saint Valentine
	Allhallowmas
	April Fools' Day
	Lady Day
	Assumption
	Candlemas
	All Souls' Day
	Epiphany

Klez.G wird mit Updates der Virensignaturen vom 30. Januar 2002 erkannt.

VARIANTE: Klez.H
ALIAS: I-Worm.Klez.H

Klez.H tauchte erstmals 'in the wild' (im Umlauf) auf am 17. April 2002. Diese Variante ähnelt stark den E, F, und G-Varianten.

Details zu Klez.H finden Sie unter:

http://www.db.f-prot-antivirus.de/news/k/klezh.htm

F-PROT (F-SECURE) Anti-Virus erkennt und stoppt Klez und Elkern.

[F-Secure Corporation, 26.10.2001/12.11.2001/16.05.2002
Dt. Übersetzung @ntivirus-shop.com]

  ZurückZurück