Diese Version von Klez wurde an verschiedenen Orten Asiens am 17. April 2002 ausgemacht. Eine Woche nach seiner Entdeckung hat er sich weltweit verbreitet. Dieser Wurm versendet wie seine Vorgänger E-Mail Nachrichten mit Anhängen aus Zufallsnamen und zufälligen Betrefffeldern.

Die Klez.H Variante ähnelt sehr den Varianten Klez.E, .F und .G.

Hier ein Bildschirmfoto, das zeigt, wie Klez.H Nachrichten aussehen können:

Folgende Unterschiede von Klez.H zu anderen Varianten sind zu erwähnen:

1. Es gibt keine Schadfunktion.

2. .PDF-Erweiterungen wurden in die Liste der Dateiendungen aufgenommen, die der Wurm benutzt, um Dateien mit doppelter Endung zu erstellen.

3. Der Wurm versendet manchmal eine Nachricht mit dem vermeintlich 'hilfreichen' Angebot, im Anhang eine Datei anzubieten, die PCs für immer vor Klez schützt, was natürlich eine bösartige Falschmeldung ist und genau das Gegenteil bewirkt, sobald man die Datei aufruft. In dieser Meldung wird der Benutzer sogar noch darauf hingewiesen, die Virenmeldung eines installierten Antiviren-Programms zu ignorieren:

Betreff :

 Worm Klez.E immunity

Text:

 Klez.E is the most common world-wide spreading worm.It's very
 dangerous by corrupting your files.
 Because of its very smart stealth and anti-anti-virus
 technic,most common AV software can't detect or clean it.
 We developed this free immunity tool to defeat the malicious
 virus.
 You only need to run this tool once,and then Klez will never
 come into your PC.
 NOTE: Because this tool acts as a fake Klez to fool the real
 worm,some AV monitor maybe cry when you run it.
 If so,Ignore the warning,and select 'continue'.
 If you have any question,please mail to me.

Die Angabe 'mail to me' wird als Link zum Absender dargestellt und ist nicht (immer) der tatsächliche Absender der Mail.

4. Der Wurm enthält eine neue Text-Nachricht des Autors. Der Text wird niemals angezeigt:

 Win32 Klez V2.01 & Win32 Foroux V1.0
 Copyright 2002,made in Asia
 About Klez V2.01:
 1,Main mission is to release the new baby PE virus,Win32 Foroux
 2,No significant change.No bug fixed.No any payload.
 About Win32 Foroux (plz keep the name,thanx)
 1,Full compatible Win32 PE virus on Win9X/2K/NT/XP'
 2,With very interesting feature.Check it!
 3,No any payload.No any optimization'
 4,Not bug free,because of a hurry work.No more than three weeks
   from having such idea to accomplishing coding and testing'

5. Der Wurm installiert die neue Elkern Virus Variante. Anders als die früheren Klez Versionen, installiert er den Virus im Verzeichnis \Programme unter zufälligen Namen und startet ihn.

6. Der Wurm ergänzt die Liste der Anti-Viren-Firmen um:

	Trendmicro
	Kaspersky

Diese Namen benutzt der Wurm, um Nachrichten zu erstellen, in denen er vorgibt ein Viren-Beseitigungstool der jeweiligen Firma zu sein.

7. Es wird zusätzlich darauf hingewiesen, dass die letzten Klez-Varianten einschließlich Klez.H vertrauliche Dateien der Benutzer versenden können, mit entsprechendem Absender der Mail (was zu sehr unangenehmen Folgen für die betreffenden Personen führen kann). Der Wurm kann zufällig ausgewählte Dateien mit folgenden Endungen als Anhang losschicken:

 .txt
 .htm
 .html
 .wab
 .asp
 .doc
 .rtf
 .xls
 .jpg
 .cpp
 .c
 .pas
 .mpg
 .mpeg
 .bak
 .mp3
 .pdf

F-PROT (F-SECURE) Anti-Virus erkennt und stoppt Klez.H und Elkern seit Update der Signaturen am 17.4.2002.

[F-Secure Corporation, 17.04.2002
Dt. Übersetzung @ntivirus-shop.com]