Viren, Würmer und Trojaner, Virenscanner und Personal Firewalls
Viren, Würmer und Trojanische Pferde (Trojaner), Virenscanner und Personal Firewalls

 

Anzeige

Computerviren
Würmer & Wurm-Viren
Dialer & Trojanische Pferde
Mythen, Hoaxes & Scherzviren

Virenschutz mit Scannern & Co
Firewalls gegen Trojaner und so

Tipps
 · 'Sasser'-Wurm
 · 'Mail ist virenfrei'
 · 'Sie sind infiziert'
 · Sober.C
 · Netsky.B
 · MyDoom.A/B
 · Bugbear/Tanatos
 · Klez
 · F&A: IP zeigen

Tools, die ich empfehle
Für Sie gelesen - mein Buch ist nicht das einzige

Presseinformationen
Impressum / Info: Wer macht diese Site?
E-Mail

Klez

(alias W32/Klez, W32/Klez'x'@mm…)

An Klez kann man prima sehen, wie schnell es heute geht: Von diesem Würmchen war vor einigen Monaten noch nicht mal die Rede, heute gilt Klez als einer der erfolgreichsten Würmer aller Zeiten. Es handelt sich genau betrachtet um einen Wurm-Virus für Windows (fast alle Versionen) mit Retro-Eigenschaften: Der Wurm Klez wirft einen Virus ab (Dropper-Wurm), welcher in der Lage ist, Antivirenprogramme abzuschalten (Retro-Virus). Der Virus ist seinerseits polymorph, kann also seine Gestalt verändern, und ist auch sonst ein übler Geselle. Die Verbreitung geschieht massenhaft per Mail (das @mm steht für "Mass-Mailer").

Wie kriegt man ihn?

Per Mail, ganz typisch wieder über einen E-Mail-Anhang: Klez nutzt dabei eine Sicherheitslücke bei Internet Explorer, Outlook Express und normalem Outlook 200x aus, im speziellen die Möglichkeit, den MIME-Typ zu verändern, um schon beim bloßen Ansehen die Ausführung des mitgeführten Codes zu erzwingen. Das kann soweit gehen, dass niemand mehr am PC sitzen muss: Es sind mir Fälle bekannt, wo Menschen in einem Raum saßen und hilflos zusehen und zuhören mussten, wie sich ihre Outlooks vollautomatisch gegenseitig infizierten - kein Witz!

Was kann er?

Den meisten Varianten von Klez sind folgende Eigenschaften gemeinsam:

Klez verwendet Outlook und Outlook Express, um sich zu vermehren. Zur Infektion des PC ist kein Doppelklick auf einen Mailanhang nötig, das Ansehen der Mail reicht, um sich mit Klez zu infizieren

Bestandteile des Klez verteilen sich im Systemverzeichnis und im Programmverzeichnis mit Einträgen in der Windows-Registrierungsdatei.

In bestehenden Netzwerken versucht Klez, sich über Freigaben zu verbreiten.

Klez sucht nach allen E-Mail-Adressen, die er finden kann (aus Adressbüchern, auch aus ICQ), und verschickt sich dann per E-Mail. Weil er das mit einer eigenen SMTP-Mailroutine macht, hilft es nichts, den Postausgang zu prüfen: dort ist er nicht zu finden.

Der erste Klez tauchte schon 2001 auf und war damals nur wenig erfolgreich. Aber: Am 25. Dezember löscht der ursprüngliche W32/Klez alle Dateien auf allen im BIOS eingetragenen Festplatten, löscht Werte im CMOS-Speicher und versucht, das Flash BIOS mit der selben Routine zu zerstören wie einst der als "Hardwarekiller" gefürchtete CIH-Virus. (Funktioniert nicht auf allen PCs und Notebooks.)

Inzwischen gibt es zahlreiche Varianten des Klez-Wurms, durchnummeriert W32/Klez-A bis W32/Klez-H, es werden sicher noch weitere kommen. Sie verstreuen zum Teil verschiedene Varianten den Virus W32/ElKern. Dieser kann unter anderem laufende Antivirensoftware deaktivieren. D.h. Wenn Ihr Virenschutz nicht auf dem neusten Stand ist, dann wird er vielleicht völlig wirkungslos. Die neuen Varianten sollen dafür allerdings ihre Hardware verschonen. Und sie killen auch einige anderen Viren, sofern welche vorhanden sind - ist ja mal ein netter Gag.

Einige Varianten behaupten, sie wären ein Gegenmittel gegen Klez-E. Was haben wir gelacht. Fies: Einige Varianten haben eine Liste von Antiviren-Firmennamen dabei, mit denen sie einen falschen Absender vortäuschen.

Wie erkennen Sie ihn?

Betreffzeile: Sie erkennen Klez an Mails, die seltsame Betreffzeilen haben. Diese können englisch sein ("your password", "Congratulations") müssen es aber nicht.

Anhang: Die Mail besitzt einen Anhang, typischerweise mit der Endung .EXE, .PIF, .SCR oder .BAT. Da steckt jeweils der Virus drin. Achtung: Möglich sind auch die Endungen TXT HTM HTML WAB ASP DOC RTF XLS JPG MPG MP3 PDF und andere - wie Sie sehen, klicken Sie am besten einfach auf überhaupt keinen Dateianhang.

Ehrlich gesagt: Überhaupt nicht. Wenn Sie Outlook / Outlook Express benutzen, dann haben Sie fast keine Chance. Wenn Sie was anderes benutzen, dann dürfte Ihnen eine etwas wirre Mail auffallen - aber Erkennungsmerkmale gibt es keine. Vergessen Sie auch "typische Betreffzeilen", "typische Mailtexte", "typische Namen von Dateianhängen" und "typische Mailgrößen": Klez sieht mit jeder Mail anders aus.

Wie schützen Sie sich?

Öffnen Sie keinen, keinen, keinen Dateianhang egal welcher Art, es sei denn, sie wissen ganz gewiss, dass ganz bestimmt diese eine Datei von dieser einen, Ihnen wirklich bekannten Person heute, jetzt und hier wirklich an Sie geschickt werden sollte. Rufen Sie zur Not an und fragen Sie nach.

Deaktivieren Sie in Outlook und Outlook Express die Vorschau. Deaktivieren Sie wie im Buch beschrieben den Empfang von Attachments (ab Outlook Express 6 möglich), updaten Sie bei Bedarf Outlook Express 4.x und 5.x auf Outlook Express 6.x

Verwenden Sie kein Outlook und auf gar keinen Fall Outlook Express, sondern die im Buch beschriebenen Alternativen.

Updaten Sie Windows per Windows update , Outlook über Office-Update und Ihr Antivirenprogramm über die Funktionen und Webseiten des jeweiligen Herstellers.

Kleine Outlook-Wurmkur:

Wenn Sie Zugriff auf die Installationsdateien haben (= CD-ROM von Office zur Hand), dann und nur dann gehen auf die Office-Update-Seite bei MS (http://office.microsoft.com/germany/productupdates/ )und updaten Sie Ihr Outlook. Gehe Sie nach Installation und Neustart ins Menü Extras / Optionen. Wähle Sie den Reiter Sicherheit. In der Mitte kann man die Zone einstellen, wählen Sie Eingeschränkte Sites. Konfigurieren Sie die Zoneneinstellungen für Eingeschränkte Sites im Internet Explorer, Extras / Optionen, Reiter Sicherheit, Icon Eingeschränkte Sites, klicken auf Stufe anpassen. Deaktivieren Sie alles, was nach ActiveX, Script, Java klingt oder sonst wie ausführbar riecht. (Aber: Das alles hilft nichts, wenn Sie kein Update installiert haben.)

Online-Scan bei Verdacht: Benutzen Sie dann zum Beispiel den Web-Scanner http://housecall.antivirus.com/ - er scannt Ihren beim Aufruf der Website. Sie brauchen sich nicht mit Namen eintragen, klicken Sie auf scan without registering. Machen Sie dann alles, was gesagt wird. So sehen Sie, ob derzeit ein Virus aktiv ist. Hoffentlich. Wenn Sie anstelle von Klez einen anderen Virus und damit Pech haben, dann ist Ihr System hinterher noch infizierter als vorher.

Viren-Schutz: Downloaden Sie bei Gelegenheit ein Gegenmittel wie Antivir PE auf www.free-av.de (privat frei nutzbar) oder kaufen Sie sich eine kommerzielle Soft-ware (nicht McAfee). Alternativ laden Sie sich bei Trend Micro die Testversion von PC Cillin Desktop, die können Sie ca. 90 Tage kostenlos (und vollständig) testen, und müssen dann erst kaufen, bis dahin sollten Sie Ihr Problem behoben haben. Installieren Sie Demos, Testscanner und freie Virenprogramme nur, wenn nicht bereits ein Virenwächter läuft - zwei Virenwächter killen Ihr System.

Antidot: Es gibt auch spezielle Anti-Klez-Mittel, Sie finden Links auf entsprechende Sites im Bereich Removal Tools. Allerdings löst das nur die Symptome, das Problem bleibt Outlook / Outlook Express mit Internet Explorer.

Weitere Infos bieten Ihnen die Viren-Lexika.
Deutschsprachige Infos speziell zu Klez:
antivir.de/vireninfo/klez_e.htm
norman.no/virus_info/w32_klez_g_mm.shtml
norman.no/virus_info/w32_klez_f_mm.shtml
sophos.de/virusinfo/analyses/w32klez.html
sophos.de/virusinfo/analyses/w32klezb.html
sophos.de/virusinfo/analyses/w32klezc.html
sophos.de/virusinfo/analyses/w32klezd.html
sophos.de/virusinfo/analyses/w32kleze.html
sophos.de/virusinfo/analyses/w32klezf.html
sophos.de/virusinfo/analyses/w32klezg.html
sophos.de/virusinfo/analyses/w32klezh.html

 

 
·

Anzeige

Google

Alles über Viren und Virenschutz finden Sie in diesem (von mir uneingeschränkt empfohlenen :-) Buch:

Andreas Winterer: Viren, Würmer und Trojanische Pferde, DATA BECKER Verlag


Andreas Winterer: PC Underground: Viren, Würmer und Trojanische Pferde, ISBN 3815822653, 510 Seiten, € 14,95
» Zu haben .. nicht mehr, denn es ist leider ausverkauft. Gebraucht bei Tandlern und evtl. bei Onlinern wie Amazon.de

 

 

 

Text/Design viren-wuermer-trojaner.de + scareware.de
© Andreas Winterer All Rights Reserved · Disclaimer/ Haftungsausschluss
Besuchen Sie auch: winterer.de | cosmopollite.de