Klez klaut geheime Daten

Kaspersky Labs warnt vor zusätzlichem Streich des brandgefährlichen Virenwurms

Die in der vergangenen Woche aufgetauchte neue Variante des Klez-Virus hat es zeitweise auf geheime Dokumente abgesehen. Die Antivirenexperten von Kaspersky Labs berichteten: "Klez.h wartet mit einer Besonderheit auf: Der Wurm scant die Festplatte eines infizierten Computers und hängt unter Umständen eine Datei an jede ausgehende verseuchte Mail."

Bei diesen Dateien könnte es sich sowohl um eine Text-, eine HTML-, ein Adobe Acrobat oder eine Excel-Datei handeln. Auch ".mpg"- und ".jpg"-Files seien betroffen, dabei handele es sich aber nur in seltensten Fällen um geheime Daten.

Der Computerwurm WORM_KLEZ.G^[1] (oder Klez.h bzw. Klez.k, abhängig von der Zählweise des jeweiligen Antivirenunternehmens) verbreitet sich nach wie vor weltweit über E-Mail. Der Wurm trete unter einer Vielzahl verschiedener und zufällig ausgewählter Betreffzeilen und Attachments auf und besitze einen Schadteil, der Dateien im Windows Systemordner platziert, Massenmails sendet und Dateien löscht.

In allen Fällen handelt es sich um eine Variante des bereits bekannten Massmailers WORM_KLEZ.A. Die aktuell kursierende Version unterscheide sich durch die vorhergehenden dadurch, dass sie bei Ausführung des Attachments eine Kopie von sich namens "WINK*.EXE" im Windows Systemverzeichnis schreibe und folgenden Registry-Eintrag erstelle:

HKEY_LOCAL_MACHINE\ Software\Microsoft\ Windows\Current Version\RunWink *=%syste m%\WINK*.EXE

Die Infektion erfolge über das Netzwerk oder über E-Mail. Im Firmennetzwerk finde der Wurm Verbreitung, indem er Shares mit Lese-/Schreibzugriff ausfindig mache und Kopien mit den Endungen ".exe", ".pif", ".com", ".bat", ".scr" oder ".rar" von sich platziere. In einigen Fällen würden auch Kombinationen verschiedener Dateiendungen erzeugt. Die Verbreitung via E-Mail erfolge über die eigene SMTP-Engine.

Der Mailbody enthält den folgenden Text:

Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002, made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus, Win32 Foroux
2,No significant change. No bug fixed. No any payload
...

ZDNet bietet ein neues Virencenter^[2] mit allen aktuellen Informationen rund um die Gefahr aus dem Cyberspace.

Kontakt:

• Network Associates, Tel.: 089^[3]/37070 (günstigsten Tarif anzeigen^[3])
• Kaspersky, Tel.: 007095^[4]/7978700 (günstigsten Tarif anzeigen^[4])
• Sophos, Tel.: 06136^[5]/91193 (günstigsten Tarif anzeigen^[5])
• Symantec, Tel.: 02102^[6]/74530 (günstigsten Tarif anzeigen^[6])
• Trend Micro, Tel.: 089^[7]/37479700 (günstigsten Tarif anzeigen^[7])

URLs in diesem Artikel:
[1] = http://trendlabs.trendmicro.de/security_info/n_enz.php?id=WORM_KLEZ.G
[2] = http://www.zdnet.de/itsupport/virencenter/virencenter-wc.html
[3] = http://www.zdnet.de/tkomm/telefontarif/cgi-bin/dest_telefontarif-wc.html?Name=Network+Associates&AreaCode=089&PhoneNumber=37070
[4] = http://www.zdnet.de/tkomm/telefontarif/cgi-bin/dest_telefontarif-wc.html?Name=Kaspersky&AreaCode=007095&PhoneNumber=7978700
[5] = http://www.zdnet.de/tkomm/telefontarif/cgi-bin/dest_telefontarif-wc.html?Name=Sophos&AreaCode=06136&PhoneNumber=91193
[6] = http://www.zdnet.de/tkomm/telefontarif/cgi-bin/dest_telefontarif-wc.html?Name=Symantec&AreaCode=02102&PhoneNumber=74530
[7] = http://www.zdnet.de/tkomm/telefontarif/cgi-bin/dest_telefontarif-wc.html?Name=Trend+Micro&AreaCode=089&PhoneNumber=37479700