Klez-Wurm verbreitet gefährlichen Chernobyl-Virus

Eine neue Variante des Klez-Wurms ist aufgetaucht. Die Experten von Symantec (Börse Frankfurt: SYM) berichten, der seit rund zwei Wochen bekannte Klez.h verbreitet nun den gefürchteten CIH-Virus. Erstmals 1999 hatte der auch unter dem Namen Chernobyl bekannte Bösewicht weltweit für Verwüstungen gesorgt (ZDNet berichtete).

Der Virus wird je nach Variante immer am 26. eines Monats oder am 26. April (Tag der Katastrophe im ukrainischen Kernkraftwerk) aktiv und ist in der Lage, die meisten Daten der Festplatte zu überschreiben. Er versucht sogar, den Flash-BIOS-Chip des Rechners zu löschen. Der Computer kann im Falle einer „erfolgreichen“ Infektion nicht mehr gestartet werden, der Flash-Baustein muss ausgetauscht werden. Da auch die Festplatte befallen ist, hilft oft nur noch eine komplette Neueinrichtung des Systems. Laut Vincent Weafer von Symantec aktiviert sich die durch Klez transportierte Variante am 2. August eines jeden Jahres.

„Für Chernobyl ist Klez nur ein weiterer Infektionsweg“, erläuterte Weafer. „Wenn ein Virus nur lange genug unterwegs ist, sind solche Huckepack-Aktionen eher die Regel. Viren können lange Zeit überleben und auch nach Jahren einen neuen Angriff starten.“

Weltweit reißen Berichte über Infektionen mit Klez nicht ab. Dank seiner vielen Erscheinungsformen handelt es sich um eine der größten Wurm-Epidemien bisher. Speziell zur aktuellen Virenlawine hat ZDNet alle Nachrichten in einem Klez-Report gesammelt.

Klez.h kommt wie üblich per E-Mail ins Haus und enthält eine von 120 Phrasen wie beispielsweise:

Re: A WinXP patch
Undeliverable mail–„(random)“
Returned mail–„(random)“
(random)(random) game
(random) (random) tool
(random) (random) website
(random) (random) patch
(random) removal tools
how are you
let’s be friends
darling

Der Body des Briefes variiert ebenfalls. Er kann unter anderem einen dieser Texte enthalten:

This is a special humour game
This is my first work.
Your’re the first player.
I would expect you would enjoy it (virus name) is a dangerous virus that spread through email.
(Antivirus vendor) give you the (virus name) removal tools. For more information, please visit http://www.(antivirus vendor).com

Sowohl die Virenexperten von Kaspersky Labs als auch von Bitdefender bieten Werkzeuge an, mit denen der Klez-Virus von der Festplatte entfernt werden kann. Dabei ist es egal, um welche Variante („.g“, „.h“, „.k“ oder ähnliches) es sich handelt. Kaspersky Lab bietet ein kostenloses Removal-Tool im DOS-Fenster, das Programm von Bitdefender ist genauso gut und zudem unter Windows auszuführen.

Der Klez-Wurm tritt unter einer Vielzahl verschiedener und zufällig ausgewählter Betreffzeilen und Attachments auf und besitze einen Schadteil, der Dateien im Windows Systemordner platziert, Massenmails sendet, Daten klaut und weiter versendet sowie Dateien löscht.

ZDNet bietet ein Virencenter mit allen aktuellen Informationen rund um die Gefahr aus dem Cyberspace.

Kontakt:

• Network Associates, Tel.: 089/37070 (günstigsten Tarif anzeigen)
• Kaspersky, Tel.: 007095/7978700 (günstigsten Tarif anzeigen)
• Sophos, Tel.: 06136/91193 (günstigsten Tarif anzeigen)
• Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)
• Trend Micro, Tel.: 089/37479700 (günstigsten Tarif anzeigen)