ciao alfisti,

der wurm (so etwas ähnliches wie ein computer-virus) klez ist wieder im umlauf (neues release)! in den vergangenen 2 tagen habe ich etliche verseuchte emails von alfisti erhalten und bei zwei meienr kunden hat er auch VOLL zugeschlagen. da ich aber wohl nicht der einzige in deren adressbüchern bin, solltet ihr euch mal ein tool zur kontrolle und vor allem zum entfernen herunterladen.

unter www.bitdefender.com gibt es auf der startseite (ganz oben in der mitte) einen link (Free Removal Tool - oder hier anklicken: http://www.bitdefender.com/download/download.php?file=AntiKlez.exe ) mit einem kostenlosen tool.

norton erkannte den wurm in der neuesten fassung NICHT!!!!
der kostenlose virenscanner von H+B > www.free-av.de soll ihn auch erkennen.

klez ist wirklich genial *bewunder* und nutzt wirklich ALLES aus um sich zu verbreiten!

schönes wurm und virenfreies wochenende wünscht
andré

dieses posting ist eine ECHTE und ERNSTZUNEHMENDE wurmwarnung! ich habe zwei kunden die sich den wurm eingefangen hatten, pro rechner im netzwerk ca. 300 befallende dateien, alle server der netzwerke waren befallen!!! ausfallzeit zur beseitigung gut einen tag! Virenscanner waren installiert!!!

ALSO AUFPASSEN WELCHE DATEIEN IHR ÖFFNET!!! und vor allem welche sicherheitseinstellungen gerade in windowsumgebungenen eingestellt sind.

Hier nochmal die technische Beschreibung:

Die neue Variante des Worm/Klez kopiert sich als WINKxxx.EXE (’xxx’ = zufällig gewählte Buchstabenkombination) in das Windows Systemverzeichnis und legt folgenden Key in der Registry an:

HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows\CurrentVersion\Run
Winkxxx=C:\Windows\System\Winkxxx.exe

Worm/Klez.E kopiert sich wahllos in verschiedene Verzeichnisse sowie Unterverzeichnisse auf allen lokalen Laufwerken, sowie alle gesharte Netzlaufwerken mit Schreib-/Lesezugriff. Diese Dateien haben als Dateiextensions .EXE, .PIF, .COM, .SCR, .RAR, .SCR. In einigen Fällen erzeugt der Wurm auch Doppelextension z.B. “Dateiname.txt.exe“

Der Worm/Klez.E droppt einen neuen Virus in das Programme Verzeichnis (meist C:\Programme\) und führt diesen aus. Der Dateiname wird mit einer zufällig gewählten Buchstabenkombination erstellt. Bei dem Virus handelt es sich um einen Fileinfektor und wird mit der aktuellen VDF als W32/Elkern.C erkannt.

Klez.E versendet sich als Email mit Hilfe seiner eigenen SMTP Engine. Die Empfängeradressen erhält der Wurm aus Windows Adressbuch oder aus Dateien mit der Extension .HTM, .HTML, .DOC, .XLS, .BAT, .TXT, .SCR, .CPP, .C, .BAK. Die Betreffzeile einer solchen Email kann folgendermaßen aussehen:

powful
WinXP
IE 6.0
new
funny
nice
humour
excite
Symantec
Mcafee
F-Secure
Kaspersky
Sophos
Trendmicro
W32.Elkern
W32.Klez.E

Die Betreffzeile kann auch Variieren. So kann der Betreff der Email auch wie folgt aussehen:

a new new game

oder

nice path

oder

a powerful new website

oder

a IE 6.0


Worm/Klez.G erstellt eine HTML-Mail, die eine base64 enkodierte Kopie von sich selbst enhält. Beim Email-Empfang führt sich Klez.E aus, auch wenn dieser nicht aktiv geöffnet wird, sondern nur in der Vorschau angezeigt wird. Dies Betrifft I.E.-basierten E-Mail-Clients (z.B. Microsoft Outlook).

Hatte mail mit new website oder so mit anhang, habs ohne öffnen geslöscht. Absender war irgenwas automäßiges superfast oder so, hoffe das reicht?!?

Oskar

kann der Betreff der Email auch wie folgt aussehen:...oder so:

Hi,
Hello,
Re:
Fw
how are you
let's be friends
darling
don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look, my beautiful girlfriend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures

Hab auch schon mehrere Mails bekommen. Diese sind meist leer und haben eine Größe von etwas über 110KB. Blöd ist, daß man zunächst nicht mißtrauisch ist, da die Mails fast immer von Leuten kommen, die man kennt (Gehässigkeitsmode=1: und Microschrotts Internetprogs verwenden. Gehässigkeitsmode=0)

Wer kann, vor dem Download Mails löschen, wenn Subjekt und Absender zusammen keinen Sinn ergeben und die Mail grösser 100KB.

ciao, ulli.

Original geschrieben von ulli
[BWer kann, vor dem Download Mails löschen, wenn Subjekt und Absender zusammen keinen Sinn ergeben und die Mail grösser 100KB.
[/B]

dafür ist quickdelete von yetisoft sehr zu empfehlen...

gruss
michel

Original geschrieben von Oskar
Hatte mail mit new website oder so mit anhang, habs ohne öffnen geslöscht. Absender war irgenwas automäßiges superfast oder so, hoffe das reicht?!?

Oskar

nicht unbedingt :(
da der virus sich teilweise selbst in eine HTML-mail packt hängt es von den einstellungen deines email clients ab und von der aktualität deines betriebssytems... (sicherheitsupdates von MS sind da dringends zu empfehlen... am besten regelmässig!!).

mit dem o.g. link kannst du das tool downloaden und deine festplatte absuchen lassen!

gruss
andré

@ andrè danke,
hatte doch tatsächlich das Ding drauf. Trotz McAfee, der den nur ekennt, wenn man ihn aktiv zum scannen nach viren auffordert, trotz höchster Sicherheitseinstellung.
Da sage noch einer, Alfa-Fahrer wären nicht anderweitig interessiert, da bekommt man doch tatsächlich Hilfe in allen Lebenslagen.
Es müssen wohl alle die von mir in letzter Zeit eine mail bekommen haben auch suchen?! ):

Oskar

Ich hatte den Virus-Angriff schon seit Beginn der Woche. Bei mir hat Norton Antivirus 2002 die entsprechenden Emails gefunden und isoliert.


Yours
strafer

@ andre, würde den tool gerne runterladen. Bekomme aber wenn ich deine adresse anklicke die meldung: Fehler in der plug-in componente. was mache ich falsch?

gruß reinhard

der link funzt immer noch nicht. bitte hilfe!!!!!!

!hello! !hello! !hello! !hello!

Hi,

hab auch einige solcher Mails bekommen, aber dank OutlookXP (der mittlerweile dagegen immun zu sein scheint) is nix weiter passiert. Der Virenscanner von H+B in der kostenlosen nutzt hierbei gar nix, man braucht einen, der die Mails beim download kontrolliert (das macht der H+B nur in der Professional Version), z.B. PC Cillin von Trend Micro, is häufig auf der Treiber-CD von neuen Mainboards als Vollversion mit drauf.

A virus free day,
JTD

die links funktionieren immer noch nicht. es kann für euch freaks doch nicht so schwer sein, mir pc trottel zu sagen, was ich machen muss. bitte!help! !help!

gruß reinhard

Original geschrieben von strafer
Bei mir hat Norton Antivirus 2002 die entsprechenden Emails gefunden und isoliert.Norton Rulez!! Hatte allein heute bisher 11Mails mit w32Klez.gen@mm im Anhang. Irgendwie komisch was für Leute meine emailadresse haben... ;-)

Lupo *Leidgeprüfter koreanische-Spams-Bekommer*

funktionieren immer noch nicht@reinhard: Eben doch. Hab grad mal alle drei angewählt. U.U. hast Du nur eine langsame Internetanbindung und denkst nur es passiere nichts? Oder die Seiten sind sehr belastet, wäre ja kein Wunder. Wenn Du auf die Links klickst, wird ein weiterer Browser gestartet.

@falschatmer: Koreanisch? Sind das die Hieroglyphen. davon bekomme ich z.Zt. 10-15 täglich, seit in einer Newsgroup war und vergessen habe meine Adresse spamsicher zu machen. Irgendwann hört das auf... ?

ciao, ulli.

Original geschrieben von ulli
@falschatmer: Koreanisch? Sind das die Hieroglyphen. davon bekomme ich z.Zt. 10-15 täglich, seit in einer Newsgroup war und vergessen habe meine Adresse spamsicher zu machen. Das gemeine an koreanischen Spams ist, dass die meisten nichtmal einen lesbaren Link haben, um sich abzumelden. Und mit "Reply with 'REMOVE' in the subject line" funktionieren die meist nicht.
Irgendwann hört das auf... ? Bei mir geht das seit 1 1/2 Jahren schon so. :-{ Ich weiß auch warum ich die krieg, aber da kann ich leider nichts dagegen tun.

Eine Webpage von mir (http://www.kinigadner.com) wurde geklaut und fast ohne Änderung (http://www.jintai-valve.com/) in Korea online gestellt; mit meiner emailadresse im Quelltext...

Lupo

Bei einigen Freemail-Providern hat man die Möglichkeit, Filter über die Postfächer laufen zu lassen. Das ist bei den Postfächern meiner 1&1-Domains nicht so einfach möglich.

Da mir die Spams auch auf den Geist mächtig auf den Geist gegangen sind und ich meine Email-Accounts mit POP3 abfrage, habe ich ein kleines Freeware-Programm laufen, welches vor meinem Email-Programm die Postfächer abfragt und filtert. So kann ich zumindest Mails unbeliebter Absender vorher löschen.

Das Programm heißt AvirMail und ist unter www.avirmail.com downloadbar. Ich finde das Teil sehr nützlich.


Yours
strafer

Original geschrieben von ulli
@reinhard: Eben doch. Hab grad mal alle drei angewählt. U.U. hast Du nur eine langsame Internetanbindung und denkst nur es passiere nichts? Oder die Seiten sind sehr belastet, wäre ja kein Wunder. Wenn Du auf die Links klickst, wird ein weiterer Browser gestartet.

ciao, ulli.

ich bekomme bei beiden links die meldung: fehler bei der intialisierung der plug-in componente. fehlt mir irgendein geheimnisvolles tool oder so was?? ?????????????????????

R.

So ein "please try again"-Scherzkeks:-* versucht auch mir immer wieder auf die Pelle zu rücken, ab in den Papierkorb -aber pronto !!

@reinhard
schwer zu sagen was das ist... welchen browser benutzt du (internet explorer oder netscape... oder evtl sogar das zeugs von aol?) und in welcher version?

@lupo
tolle seite :-] und die koreaner haben sich ja nicht viel mühe beim klauen gegeben... da steht ja sogar noch heinz kinigadner drin ;)

das mit dem remove-mail würde ich mal lassen... in antispam-unterlagen wurde meist drauf hingewiesen, dass man dadurch die adresse den spammern verifiziert und sie dich erst recht in ihre mailinglisten aufnehmen... hilft nur ignorieren, filtern oder kämpfen...

@ulli
ich bekomme jetzt noch spam auf meine newsgroup-emailadresse, obwohl ich seit gut 2 jahren nicht mehr aktiv drin teilnehme... solange die adresse zb bei groups.google.com zu finden ist, wird das wohl immer weitergehen...

gruss
michel

Hallo Andre,

vielen Dank für den Tipp!
Mein Virenscanner hat zwar den Wurm bei ankommenden emails erkannt, konnte den Wurm aber nicht entfernen. Damals bei ANTIBAD.TRANS.B hat mit auch ein Tool von Bitdefender geholfen, als der Klez-Wurm zum ersten mal bei mir auftauchte, hatte Bitdefender noch kein Removaltool. Ich hatte 9 infizierte Dateien, die aber jetzt wieder sauber sind. Die Jungs sind echt fit!

Also vielen Dank nochmal für das Tool

Ciao Carlo

[QUOTE]Original geschrieben von Michel
[B]@reinhard
schwer zu sagen was das ist... welchen browser benutzt du (internet explorer oder netscape... oder evtl sogar das zeugs von aol?) und in welcher version?

ich habe Ms internet exporer, m.W. die vorletzte version, weil ich zu faul war in den t punkt zu wetzen, sie stammt vom herbst letzten jahres.

@ strafer dein hilfsprogramm habe ich heruntergeladen und die online bedienungsanleitung studiert. wie aktiviere ich die von dir beschriebene funktion (vorcheck auf dem server, dann abrufen mit outlook express?)

gruß R.

da mir niemand mehr antwortet, auch der @strafer nicht, habe ich mir soweit es geht selbst geholfen. ich kann den den vorcheck mit dem von dir, strafer empfohlenen hilfsprogramm nunmehr durchführen. ich lösche jetzt einfach alles verdächtige und unbekannte, da es mir wegen des beschriebenen pug-in-problems nach wie vor unmöglich ist, die fehlenden anti-wurm-tools herunter zu laden. sch... mist elender :-* :-* :-* :-*

grüße r.

ciao reinhard,

1.) alte versionen von browser immer mit den online-updates auf den neuesten stand bringen!!! häufig werden dadurch viele sicherheitslücken geschlossen.

2.) NICHTS unbekanntes löschen!!!!!!!! es könnten wichtige dateien des betriebssystems dabei sein!!

3.) ich mail dir einfach die datei an deine alfa-forum.com adresse. wenn du sie nicht abspeichern kannst, nimm bitte den online e-mail client!!!

gruss
andré

Danke, lieber andré. auf dich ist verlass. alles in butter now.

p.s. unter alles löschen, meinte ich natürlich nur e-mails von mir unbekannten absendern, nicht irgendwelche dateien auf meinem pc

gruß r.

Lieber Reinhard,

entschuldige, deine Frage hatte ich wohl beim Überfliegen der Beiträge übersehen.

Das Programm benutze ich hauptsächlich zur Filterung von Spam-mails, die ich automatisch auf dem email-Server löschen lasse. Aber inzwischen bist du ja fit mit dem Programm...:)


Yours
strafer

@ strafer, danke dennoch für den tip. das programm ist wirklich hilfreich. die anti-wurm-tools hat mir andre freundlicher weise per mail zukommen lassen. sie sind installiert. alles in butter.

gruß reinhard