© Virusalert schaal

  • Innovatie: 43
  • Besturing: 61
  • Logistiek: 54
  • Schade: 55
  • Schaal: 53
  • Aanduiding: zeer gevaarlijk

W32.Klez.H (of Klez.G)

  • Type internet worm
  • Besturingssysteem Microsoft Windows
  • Risico middel
  • Bron (c) 2002, VirusAlert
  • Alias Klez.H Klez.G klez.gen w32.klez.gen
  • Preventie -Installeer de patch van Microsoft. -Update uw antivirussoftware. Herkenning van besmetting: Aanwezigheid van het bestand "WINK[...].exe" in de standaard Windows\System directorie van uw systeem. (standaard is dit C:\Windows\System ) Aanwezigheid van de volgende registry-sleutels die verwijzen naar de waarde, WINK[....].exe Sleutel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run of: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce De notatie [...] duidt op wisselende karakters die hier door het virus voor gebruikt worden. Kijk in ieder geval naar de aanmaakdatum van dit bestand en de verwijzing naar dit bestand in de registry.
  • Verwijderinstructie -Verwijder het genoemde emailbericht uit uw mailprogramma, denk hierbij ook aan de map "verwijderde items". -Verwijder genoemd bestand en de hieraan gekoppelde verwijzing in de registry. Het is verstandig om tevens een Windows-opstartdiskette te maken voordat u de registry aanpast. (Raadpleeg de helpfunctie van uw Windows-programma.) -Kaspersky heeft een tool ontwikkeld waarmee u meerdere virussen, waaronder de Klez.H, kunt verwijderen. Klik op de volgende link en er wordt direct een programma gedownload op uw computer. Dit programma kijkt vervolgens op uw systeem en verwijderd het virus indien nodig. gratis verwijderingstool van Kaspersky (76 Kb) Op de linkpagina van deze site vindt u nog meer tools voor Klez e.a. virussen. De Alert over : W32.Klez.H is op 17-04-2002 @ 17.45 verspreidt via de VirusAlert SMS-dienst.

Laatste update 25-12-2003, toevoeging kerstgerelateerd onderwerp.
Klez.H is een variant van het W32.Klez@mm virus. Deze variant is actief sinds 15 april maar wordt sinds 17 april als zeer wijd verspreid gezien.

Het virus is ondermeer in staat om zichzelf te activeren door gebruik te maken van een fout in de Microsoft software. Hiervoor zijn al geruime tijd patches beschikbaar. (zie hieronder). De verzending van het virus vindt plaats via e-mail met wisselende eigenschappen en het afzendadres wordt wisselend gekozen uit adressen die het vindt op het besmette systeem.
(Ofwel: De kans bestaat dat u dit virus ontvangt van personen met wie u zelf nog nooit per e-mail contact heeft gehad!)

Toelichting: Vakterm voor deze actie: Spoof.
Concreet:
Systeem A is besmet met Klez. Op systeem A bevindt zich het emailadres van systeem B (bv. hallo@hotmail.com) Klez kan dan als afzendadres het adres hallo@hotmail.com selecteren. De gebruiker met dit emailadres werkend op systeem C lijkt nu degene die het virus verzend. Maar dit hoeft dus niet het geval te zijn. Gevolg: Systeem C krijgt allemaal reacties van mensen in de trend van “je hebt me een virus toegezonden”. Terwijl dit dus helemaal niet het geval is.

Er zijn inmiddels Klez.H emailtjes gedetecteerd die zich doen voorkomen als een email voorzien van verwijeringstool tegen Klez.E, zie plaatje hierboven!

Naast het zichzelf doorsturen probeert het virus geinstalleerde antivirussoftware uit te schakelen door bepaalde programmabestanden te verwijderen en tracht het zich te verpreiden richting gedeelde netwerkverbindingen.

Tijdcomponent
Het virus verspreidt zich via een besmet systeem op vastgezette tijden, te weten iedere 6e dag van een maand.

Van de volgende business partners van VirusAlert is bekend dat zij updates beschikbaar hebben en/of deze variant reeds detecteren:
-Messagelabs
-McAfee
-Symantec
-Norman ASA
-Aladdin
-Kaspersky

Eigenschappen van het e-mailtje: (Bron: Symantec)
-onderwerp: [varieert continue] bekend is ondermeer samenstellingen met:

-Have a new Christmas (toegevoegd d.d. 25-12-2003)
-Undeliverable mail …
-Returned mail–“……”
-a [……] [……] game [of] tool [of] website [of] website [of] patch
-[………] removal tools
-how are you
-let’s be friends
-darling
-so cool a flash,enjoy it
-your password
-honey
-some questions
-please try again
-welcome to my hometown
-the Garden of Eden
-introduction on ADSL
-meeting notice
-questionnaire
-congratulations
-sos!
-japanese girl VS playboy
-look,my beautiful girl friend
-eager to see you
-spice girls’ vocal concert
-japanese lass’ sexy pictures

In het vakje [….] kan een van onderstaande woorden zijn geplaatst:

new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky

-Tekst van het bericht: [varieert continue]

-Naam van het bijlagebestand: [varieert continue] De extensie is altijd .exe, .bat, .pif OF .scr. De grootte van dit bestand is ongeveer 90 KB.

Een voorbeeld van de versie die bij VirusAlert binnenkwam:

Subject: W32.Klez.E removal tools

W32.Klez.E is a dangerous virus that spread through email.
Kaspersky give you the W32.Klez.E removal tools

[einde voorbeeld]