LLL!
ICH HAB IHN! Meinen ersten Virus! Den Wurm KLEZ.E!
Ich möchte nur darvor warnen, Mails in absehbarer Zeit von mir aufzumachen, d.h. alles von mixabit@web.de mixabit@virtuelle-city.de und ix587@g-zone-mail.com SOFORT LÖSCHEN!
Versuche gerade, das ding zu löschen, wünscht mir glück!
Gruss
Maxi
PS: Das schreiben Fachleute über KLEZ.E:
Winkyyy=C:WindowsSystemWinkyyy.exe
Worm/Klez.E kopiert sich wahllos in verschiedene Verzeichnisse sowie Unterverzeichnisse auf allen lokalen Laufwerken, sowie alle gesharte Netzlaufwerken mit Schreib-/Lesezugriff. Diese Dateien haben als Dateiextensions .EXE, .PIF, .COM, .SCR, .RAR, .SCR. In einigen Fällen erzeugt der Wurm auch Doppelextension z.B. “Dateiname.txt.exe“
Der Worm/Klez.E droppt einen neuen Virus in das Programme Verzeichnis (meist C
rogramme) und führt diesen aus. Der Dateiname wird mit einer zufällig gewählten Buchstabenkombination erstellt. Bei dem Virus handelt es sich um einen Fileinfektor und wird mit der aktuellen VDF als W32/Elkern.C erkannt.
Klez.E versendet sich als Email mit Hilfe seiner eigenen SMTP Engine. Die Empfängeradressen erhält der Wurm aus Windows Adressbuch oder aus Dateien mit der Extension .HTM, .HTML, .DOC, .XLS, .BAT, .TXT, .SCR, .CPP, .C, .BAK. Die Betreffzeile einer solchen Email kann folgendermaßen aussehen:
powful
WinXP
IE 6.0
new
funny
nice
humour
excite
Symantec
Mcafee
F-Secure
Kaspersky
Sophos
Trendmicro
W32.Elkern
W32.Klez.E
Die Betreffzeile kann auch Variieren. So kann der Betreff der Email auch wie folgt aussehen:
a
new new game
oder
nice path
oder
a
powerful new website
oder
a IE 6.0
Worm/Klez.G erstellt eine HTML-Mail, die eine base64 enkodierte Kopie von sich selbst enhält. Beim Email-Empfang führt sich Klez.E aus, auch wenn dieser nicht aktiv geöffnet wird, sondern nur in der Vorschau angezeigt wird. Dies Betrifft I.E.-basierten E-Mail-Clients (z.B. Microsoft Outlook).
