Impressum | Werbung

Geizhals » Forum » Security & Viren » Warnung (kein hoax) vor i-worm.klez.e (6 Beiträge, 21 Mal gelesen) Top-100 | Fresh-100

^ Forum  Security & Viren  #330208 Abstimmung: Warnung (kein hoax) vor i-worm.klez.e Twist 27.03.2002, 01:49:41 ok meine mutter hätte sich den dreck fast eingefangen...nur kaspersky hat hin gerade noch aufgehalten. im gegensatz zu der allgemeinen meinung ist das sicherheitsloch noch immer offen sogar im IE 6.0 mit allen derzeitigen patches. man braucht die email nur im preview anschaun und schon installiert sich der dreck. es wird keine exe als anhang angezeigt und auch sonst nix verdächtiges ausser das die email in englisch ist was ja für die meisten von uns ganz normal ist. der absender muss nicht einmal infisziert sein. der author updated das ding alle zwei wochen und verarscht die AV community+MS im sourcecode comment. auch der trick mit dem im outlook mitlerweile eingebauten warntool wenn ein prog mails verschickt und eingeschränkter sicherheitsstufe für emails hilft nix. somit tip1: virus definitionen updaten! tip2: MS schrott (IE, Outlook) endgültig gegen Opera und thebat! umtauschen. McAfee Data base(leider nicht ganz korrekt): This W32/Klez variant has the ability to spoof the email FROM: field. The senders address used by the virus, may be one that was found on the infected user's system. Thus, it may appear that you have received this virus from one person, when it was actually sent from a different user's system. Viewing the entire email header will display the actual senders address. This worm makes use of Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability in Microsoft Internet Explorer (ver 5.01 or 5.5 without SP2) 1) The worm interferes with running programs and frequently displays a fake error message: Note - the name displayed is random but is always an EXE. 2) Alien WINKxxx.EXE files in \WINDOWS\SYSTEM folder (ex., WINKIDT.EXE or WINKKR.EXE). 3) Reference to a WINKxxx.EXE file (and "xxx" looks random) in a registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run or HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 4) Executable files have "companions" of about the same size and random extension (ex., apart from MSOFFICE.EXE you may have MSOFFICE.HRH which is a hidden system file). On top of that if you run an infected file you will temporarily have a third file with "~1" in the name (ex., NETSCAPE.EXE will not only have NETSCAPE.PXB but also NETSCA~1.EXE of exactly the same size as NETSCAPE.EXE). This third file is a reconstructed host and it is deleted by the worm once you quit the program. 5) This worm also causes serious system performance degradation and some programs stop running. Top of Page Method Of Infection When the Email is opened the worm immediately activates using mentioned vulnerability (previewing the message may be enough if your system is not patched). The worm copies itself under WINKxxx.EXE name (where xxx are random characters) into the WINDOWS\SYSTEM folder (can be different if your installation is not a default one) and this file is set to run every time the system starts. W32/Klez.e@MM is based on the W32/Klez.gen@MM but unlike its predecessors this variant can itself infect files (on top of being able to also drop W95/Elkern.cav.b virus). W32/Klez.e@MM worm overwrites files and they are padded with zeroes to the original uninfected host size. The worm saves original contents of the hosts in files with the same name and random extension. These files are "Hidden" and "System" (to be able to see them you need to change "View/Folder Options" in Windows Explorer by selecting "Show all files"). Running infected files causes the worm to reconstruct the uninfected host file using saved data. Such reconstructed files will have "~1" appended to the name (ex., infected MSOFFICE.EXE will be accompanied by an uninfected MSOFFI~1.EXE). The worm deletes them as soon as the program stops running so they exist only temporarily. W32/Klez.e@MM sends itself out using SMTP protocol. It harvests the Windows address book for email addresses. The virus may save a copy of itself into .RAR archives. There is a date-activated payload associated with this threat. On the 6th day of March, May, September, or November, the virus may overwrite local and network files containing the following extensions with zeros: .txt, .htm, .html, .wab, .doc, .xls, .jpg, .cpp, .c, .pas, .mpg, .mpeg, .bak, or .mp3. If the month is January or July, all files may be overwritten. This behavior was not observed in a lab environment. Auswahl Ich update nur mein Anti-Viren Prog.   Goodbye IE+Outlook. Hello Opera, Netscape, TheBat!,...   Ich erneuere meinen Anti-Virus + Neuer Browser und neues Mailpog   Ich mach nix...ist sicher nur ein Hoax...was ist das überhaupt?   Ich finde IE und Outlook noch immer super!!!   Das Zwischenergebnis wird erst angezeigt, nachdem du deine Stimme abgegeben hast. Anders als bei einer Umfrage kannst du die getroffene Auswahl nicht mehr verändern.   Ich update nur mein Anti-Viren Prog.  (Twist am 27.03.2002, 01:53:30)   Goodbye IE+Outlook. Hello Opera, Netscape, TheBat!,...  (Twist am 27.03.2002, 01:54:40)   Ich erneuere meinen Anti-Virus + Neuer Browser und neues Mailpog  (Twist am 27.03.2002, 01:55:56)   Ich mach nix...ist sicher nur ein Hoax...was ist das überhaupt?  (Twist am 27.03.2002, 01:56:29)   Ich finde IE und Outlook noch immer super!!!  (Twist am 27.03.2002, 01:57:30)

 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung