VirusAlert.nl logo
  21 maart 2019 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Naam (type):
W32.Klez.H (of Klez.G) (Internet Worm)
Besturing:
Microsoft Windows
Datum:
17 april 2002
Risico:
Middel
Bron:
(c) 2002, VirusAlert
Aliassen:
Klez.H<br /> Klez.G<br /> klez.gen<br /> w32.klez.gen
Eigenschappen:
Laatste update 25-12-2003, toevoeging kerstgerelateerd onderwerp.
Klez.H is een variant van het W32.Klez@mm virus. Deze variant is actief sinds 15 april maar wordt sinds 17 april als zeer wijd verspreid gezien.

Het virus is ondermeer in staat om zichzelf te activeren door gebruik te maken van een fout in de Microsoft software. Hiervoor zijn al geruime tijd patches beschikbaar. (zie hieronder). De verzending van het virus vindt plaats via e-mail met wisselende eigenschappen en het afzendadres wordt wisselend gekozen uit adressen die het vindt op het besmette systeem.
(Ofwel: De kans bestaat dat u dit virus ontvangt van personen met wie u zelf nog nooit per e-mail contact heeft gehad!)

Toelichting: Vakterm voor deze actie: Spoof.
Concreet:
Systeem A is besmet met Klez. Op systeem A bevindt zich het emailadres van systeem B (bv. hallo@hotmail.com) Klez kan dan als afzendadres het adres hallo@hotmail.com selecteren. De gebruiker met dit emailadres werkend op systeem C lijkt nu degene die het virus verzend. Maar dit hoeft dus niet het geval te zijn. Gevolg: Systeem C krijgt allemaal reacties van mensen in de trend van "je hebt me een virus toegezonden". Terwijl dit dus helemaal niet het geval is.


Er zijn inmiddels Klez.H emailtjes gedetecteerd die zich doen voorkomen als een email voorzien van verwijeringstool tegen Klez.E, zie plaatje hierboven!


Naast het zichzelf doorsturen probeert het virus geinstalleerde antivirussoftware uit te schakelen door bepaalde programmabestanden te verwijderen en tracht het zich te verpreiden richting gedeelde netwerkverbindingen.

Tijdcomponent
Het virus verspreidt zich via een besmet systeem op vastgezette tijden, te weten iedere 6e dag van een maand.

Van de volgende business partners van VirusAlert is bekend dat zij updates beschikbaar hebben en/of deze variant reeds detecteren:
-Messagelabs
-McAfee
-Symantec
-Norman ASA
-Aladdin
-Kaspersky

Eigenschappen van het e-mailtje: (Bron: Symantec)
-onderwerp: [varieert continue] bekend is ondermeer samenstellingen met:

-Have a new Christmas (toegevoegd d.d. 25-12-2003)
-Undeliverable mail ...
-Returned mail--"......"
-a [......] [......] game [of] tool [of] website [of] website [of] patch
-[.........] removal tools
-how are you
-let's be friends
-darling
-so cool a flash,enjoy it
-your password
-honey
-some questions
-please try again
-welcome to my hometown
-the Garden of Eden
-introduction on ADSL
-meeting notice
-questionnaire
-congratulations
-sos!
-japanese girl VS playboy
-look,my beautiful girl friend
-eager to see you
-spice girls' vocal concert
-japanese lass' sexy pictures

In het vakje [....] kan een van onderstaande woorden zijn geplaatst:

new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky


-Tekst van het bericht: [varieert continue]

-Naam van het bijlagebestand: [varieert continue] De extensie is altijd .exe, .bat, .pif OF .scr. De grootte van dit bestand is ongeveer 90 KB.


Een voorbeeld van de versie die bij VirusAlert binnenkwam:

Subject: W32.Klez.E removal tools

W32.Klez.E is a dangerous virus that spread through email.
Kaspersky give you the W32.Klez.E removal tools

[einde voorbeeld]
© VirusAlert schaal

Innovatie:  43
Besturing:  61
Logistiek:  54
Schade:  55

Schaal:  53/100

Aanduiding: ZEER GEVAARLIJK




Gratis Nieuwsbrief!

Herkenning van besmetting:
-Installeer de patch van Microsoft.

-Update uw antivirussoftware.

Herkenning van besmetting:

Aanwezigheid van het bestand "WINK[...].exe" in de standaard Windows\System directorie van uw systeem. (standaard is dit C:\Windows\System )


Aanwezigheid van de volgende registry-sleutels die verwijzen naar de waarde, WINK[....].exe

Sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

of:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

De notatie [...] duidt op wisselende karakters die hier door het virus voor gebruikt worden. Kijk in ieder geval naar de aanmaakdatum van dit bestand en de verwijzing naar dit bestand in de registry.


Verwijder instructies:
-Verwijder het genoemde emailbericht uit uw mailprogramma, denk hierbij ook aan de map "verwijderde items".

-Verwijder genoemd bestand en de hieraan gekoppelde verwijzing in de registry. Het is verstandig om tevens een Windows-opstartdiskette te maken voordat u de registry aanpast. (Raadpleeg de helpfunctie van uw Windows-programma.)

-Kaspersky heeft een tool ontwikkeld waarmee u meerdere virussen, waaronder de Klez.H, kunt verwijderen. Klik op de volgende link en er wordt direct een programma gedownload op uw computer. Dit programma kijkt vervolgens op uw systeem en verwijderd het virus indien nodig.
gratis verwijderingstool van Kaspersky (76 Kb)

Op de linkpagina van deze site vindt u nog meer tools voor Klez e.a. virussen.

De Alert over : W32.Klez.H is op 17-04-2002 @ 17.45 verspreidt via de VirusAlert SMS-dienst.
Link:
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2019 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/Privacy Virusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing

Black Friday Nederland 2018

Wil je ook de beste electronica aanbiedingen tijdens black friday deals 2018? Neem dan een kijkje op blackfridaydeals.nu. Schrijf je vast in voor de nieuwsbrief zodat je niets misloopt op 23 november 2018!

RSS