[helpc] RE : Virus: Klez (= Klez.E, Klez.H)
- From: technics@xxxxxxxxx (Technics)
- To: <helpc@xxxxxxxxxxxxx>
- Date: Thu, 18 Apr 2002 19:31:43 +0200
Voici encore une fois tout ce que j?ai trouvé sur les virus de la
famille « klez »
Je reparle de ce(s) virus pour la simple et bonne raison que Gill et
Rudi se sont fait avoir et que donc le risque de le rencontrer est
important pour le moment( surtout depuis que Gill l?a :-) )
J?ajoute le fix qui connaît les versions A, B, C, E, G/H et le fichier
texte explicatif que j?ai fait traduire en français à la fin.
Grâce à ce chers « bêtatesteur » qu?est devenu Gill, j?ai constaté que
plus moyen d?installer d?antivirus, norton ne démarre plus, AVP(
Kaspersky) a son .exe qui disparaît, ?
Une solution est aussi l?antivirus gratuit en ligne :
www.secuser.com/antivirus/
Qui détecte bien le Klez.G?
Prudence donc et si trop tard, bonne chance :-(?
I-Worm.Klez.a-h (Klez Family)
This is virus-worm virus that spreads via the Internet attached to
infected e-mails. The worm itself is a Windows PE EXE file about 57-65Kb
(depending on its version) in length, and it is written in Microsoft
Visual C++.
Infected messages have variable subjects and attachment names (see
below). The worm uses an Internet Explorer security breach (IFRAME
vulnerability) to start automatically when an infected message is
viewed.
In addition to spreading in the local network and in e-mail messages,
the worm also creates a Windows EXE file with a random name starting
with "K" (i.e., KB180.exe), in a temporary folder, writes the
"Win32.Klez" virus in it, and launches the virus. The virus infects the
majority of Win32 PE EXE files on all available computer disks.
Start-up
When an infected file is started, the worm copies itself to a Windows
system folder with the krn132.exe name. Then it writes to registry the
following key to start automatically with Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Krn132 =
%System%\Krn132.exe
where %System% is the name of the Windows system folder.
Then the virus searches for active applications (anti-viruses, see the
list below) and forces them to unload using a Windows "TerminateProcess"
command:
_AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW,
NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC,
NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS
Replication: e-mail
The worm uses SMTP protocol to send e-mail messages. It finds e-mail
addresses in a WAB database and sends infected messages to these
addresses.
The subject of the infected message is selected randomly from the
following list:
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
The message body is the following:
I'm sorry to do so,but it's helpless to say sory.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?
Attached file: Win32 PE EXE file with random name, which has either an
".exe" extension or a double extension:
name.ext.exe
The worm selects the filename (name.ext) using an original routine. It
scans all available drives and finds there files with the following
file-name extensions:
.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg
It uses one of the found filenames (name.ext) as the base name of an
attachment, then it adds a second extension, ".exe". For example,
"Ylhq.htm.exe", "If.xls.exe", etc.
The worm inserts its own "From:" field into infected messages. Depending
on the random counter, it inserts there either a real e-mail address, or
a fake randomly generated address.
An interesting feature of the worm is that before sending infected
messages, the worm writes the list of found e-mail addresses in its EXE
file.
All strings in the worm's body (messages and addresses) are stored in an
encrypted state.
Replication: local and network drives
The worm enumerates all local drives and network resources with written
access and makes there its copy with a random name name.ext.exe (the
name-generation routine is similar to one which is used to generate
attachment names). After copying itself to network resources, the worm
registers its copies on remote computers as system service applications.
Payload
On the 13th of even months, the worm executes a payload routine, which
fills all files on all available victim s'computer disks with random
content. These files can't be recovered and must be restored from a
backup copy.
Other versions
There are several modifications of this worm. I-Worm.Klez.a-d are
similar, and have minor differences.
Klez.e-h are similar too, and have minor differences as well. See more
info about "Klez.h" below.
Klez.e
Installation
The worm copies itself to the Windows system directory with a random
name that starts from "Wink", i.e., "Winkad.exe".
Infection
The worm searches several registry keys for links to applications:
Software\Microsoft\Windows\CurrentVersion\App Paths
Then the worm tries to infect EXE applications that it finds. When
infecting an EXE, the worm creates a file with the same name and random
extension and also hidden+system+readonly attributes. This file is used
by the worm to run the original infected program. When the infected file
is run, the worm extracts the original file to a temp file with the
original filename plus 'MP8' and runs it.
The worm infects RAR archives by copying itself to archives with a
randomly generated name. The name of the infected file is selected from
the following list:
setup
install
demo
snoopy
picacu
kitty
play
rock
and has either one or two extensions, where the last one is ".exe",
".scr", ".pif" or ".bat".
Replication: e-mail
The subject of the infected message is either selected from the
following list or is generated randomly:
Hi,
Hello,
Re:
Fw:
how are you
let's be friends
darling
don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
The worm can also generate the subject of the message from the following
strings:
Undeliverable mail--%% Returned mail--%% a %% %% game a %% %% tool a %%
%% website a %% %% patch %% removal tools
Where %% is selected from the following list:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez
The body of the infected messages is either blank, or has randomly
generated contents.
Attached file: a Win32 PE EXE file with a random name, which has either
an ".exe" extension or a double extension.
The worm uses an IFrame security breach to launch automatically when an
infected message is viewed.
Payload
On the 6th of odd months, the worm executes a payload routine that fills
all available files on a victim's computer in local and network disks
with random content. These files can't be recovered and must be restored
from a backup copy.
Other
Klez.e randomly and depending on different conditions attaches randomly
selected files from the local disk to emails. Therefore the email
message has two attached files: 1. a copy of the worm and 2. an
additional file.
The worm looks for following file extensions for attachments:
.txt .htm .html .wab .doc .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3
As a result, the worm is able to send personal or confidential
information from the computer, disclosing it.
The worm scans for the active processes that contain the following
strings, and terminates them:
Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32
Klez.h
The Klez.h variant of the Klez worm family is very similar to Klez.e.
The differences are:
1. This variant has no payload and doesn't destroy files.
2. It brings with it additional variants of infected Messages,
Subjects and Bodies.
Example of a Klez.h email message Subject and Body content:
Worm Klez.E immunity
Klez.E is the most common world-wide spreading worm.It's very dangerous
by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most
common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into
your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some
AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me.
This worm looks for files with the following extensions:
.txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .c .pas .mpg .mpeg
.bak .mp3 .pdf
Depending on several conditions Klez.h attaches a file with one of the
above listed extensions to infected emails (as the second attached
file). As a result, confidential or personal information may be sent out
and made public.
Another example of Klez.h email message content:
Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from
having such idea to accomplishing coding and testing
How do I delete the Klez virus?
1) disconnect the infected PC from the local network (if exists)
2) run <ftp://ftp.kaspersky.ru/utils/clrav.com> clrav.com file
If the program says "nothing to clean" - run it from the command line
with the paramrter /scanfiles, for example:
C:\clrav.com /scanfiles
3) re-boot your PC in Safe Mode
4) run clrav.com again
5) reinstall the anti-virus package and update the anti-virus database
6) run Kaspersky AV Scanner and check all the hard drives
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx
-----Message d'origine-----
De : helpc-bounce@xxxxxxxxxxxxx [mailto:helpc-bounce@xxxxxxxxxxxxx] De
la part de Shaka( Rudy)
Envoyé : mercredi 17 avril 2002 19:26
À : helpc@xxxxxxxxxxxxx
Objet : [helpc] Virus: Klez (= Klez.E, Klez.H)
Virus
Klez (= Klez.E, Klez.H)
Klez.E est un virus qui se présente sous la forme d'un message dont le
titre, le corps et le nom du fichier attaché sont aléatoires. Parfois
accompagné d'une image, ce fichier possède une extension en .EXE, .PIF,
.COM, .BAT, .SCR ou .RAR, mais l'extention visible peut également être
.WAV ou .MID car le virus peut falsifier le content-type dans l'entête
du message (avec Outlook, la pièce jointe est alors invisible). Quelques
titres possibles :
A special new game
A special funny game
A IE 6.0 patch
A WinXP patch
Spice girls' vocal concert
Happy Lady Day
Hello,let's be friends
Run in DOS mode
How are you Let's be friends
Darling Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos! japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
Japanese lass' sexy pictures
Pretty Woman
Le virus peut également se propager sous la forme d'un faux message
d'erreur intitulé Undeliverable mail--"[titre]" ou "Returned
mail--"[titre]". Dans ce cas, le corps du message se présente sous la
forme suivante, le fichier attaché étant une copie du virus :
"The following mail can't be sent to [adresse email de la personne
infectée]:
From: [votre adresse email]
To: [adresse email de la personne infectée]
Subject: [titre]
The attachment is the original mail"
Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son
affichage dans la fenêtre de prévisualisation d'Outlook, si
l'application n'a pas été patchée contre une vulnérabilité MIME connue.
Si le fichier joint est exécuté, le virus se copie dans le répertoire
Système de Windows avec l'attribut "fichier caché" sous le nom WINK*.EXE
(où * est une chaîne de caractères aléatoire), modifie la base de
registres pour s'exécuter automatiquement au prochain démarrage, puis
copie dans le répertoire Système et exécute le fichier WQK.EXE
correspondant au virus ElKern. Klez.E extrait ensuite les adresses
emails contenues dans les carnets d'adresses Windows et ICQ pour
s'envoyer automatiquement à certains correspondants avec son propre
serveur SMTP, en utilisant généralement une fausse adresse email
d'expéditeur piochée dans une liste pré-établie :
pw246@xxxxxxxxxxxx
queen@xxxxxxxxxxxx
yaya@xxxxxxxxxx
atoz@xxxxxxxx
anti@xxxxxxxxxxxx
graph@xxxxxxxxxxxx
street@xxxxxxxxxxx
sani@xxxxxxxx
santurn@xxxxxxxxxxx
andy@xxxxxxxxxxx
little@xxxxxxxxx
gigi@xxxxxxxxxxxx
bet@xxxxxxxxxxxx
lily@xxxxxxxxx
sun@xxxxxxxxxxx
linda@xxxxxxxxxxx
raise@xxxxxxxxxx
rainrainman@xxxxxxxxxxxx
karala@xxxxxxxxxxxx
sammychen@xxxxxxxxxx
flywind@xxxxxxxxxx
suck@xxxxxxxxxx
urlove@xxxxxxxxxx
tutu@xxxxxxxxx
cheu@xxxxxxxx
xyz@xxxxxxxx
pet@xxxxxxxx
girl@xxxxxxxxxxxxxx
littlecat@xxxxxxxxxxxx
panshugang@xxxxxxxxxxx
pipti@xxxxxxxx
certpass@xxxxxxxx
powerhero@xxxxxxx
CR7269CH@xxxxxxxx
RUBENSOTOAGUI@xxxxxxxx
ACAMDR@xxxxxxxx
ol-petech@terra. es
ROSANAMOLTO@xxxxxxxx
MANUEL23@xxxxxxxx
cristian_soto@xxxxxxxx
carlos_nuevo@xxxxxxxx
Klez.E se propage le cas échéant via les dossiers partagés, puis
désactive et tente d'éliminer certains antivirus et firewalls, en
supprimant les clés de base de registres et répertoires correspondants :
_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR2
Enfin, le 6 de chaque mois impair (Janvier, Mars, Mai, Juillet,
Septembre, Novembre) le virus Klez.E écrase les principaux fichiers de
données du disque dur (TXT, HTM, HTML, WAB, DOC, XLS, CPP, C, PAS, MPEG,
MPG, BAK, MP3, et JPG) de manière à ce que leur contenu ne soit plus
récupérable.
Pour s'en préserver, il faut s'assurer être à jour dans ses correctifs
sécurité et supprimer le mail dès son arrivée dans la boîte de
réception. L'utilitaire de désinfection ci-dessous permet de rechercher
et d'éliminer Klez.A, Klez.B, Klez.C et Klez.E.
Une variante de Klez.E est en circulation depuis le 17/04/02 sous le nom
Klez.H. Capable de se propager également par email et via les dossiers
partagés, elle copie puis exécute une nouvelle version du virus Elkern
(Elkern.C) sous un nom aléatoire.
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx
***************************************************************************
FIX_KLEZ (version 3.10)
Trend Micro, Inc.
http://www.antivirus.com
***************************************************************************
I. File List
o FIX_KLEZ.COM - fix tool for WORM_KLEZ (.A, .B, .C, .E, .I, .G
variants) and PE_ELKERN (.A and .B variants)
o README_KLEZ.TXT - this readme file
II. How to Use
** IMPORTANT NOTE : This tool only removes WORM_KLEZ (.A, .B, .C, .E, .I, .G
variants), PE_ELKERN (.A and .B variants),
infected processes/services, registry entries, and currently
running dropped files, therefore the only way to fully clean the
system is to run this tool, reboot the system, run the tool again, and use our
virus scanner to detect and delete files detected as WORM_KLEZ (.A, .B, .C, .E,
.I , .G variants) and clean files detected as PE_ELKERN (.A and .B variants).
There is a possibilty that this virus will infect system files used by
Windows or any other applications, thus deleting these files may
cause Windows or other applications to malfunction.
For Windows 95/98/ME:
1. Before using this tool, users, specifically those with Internet
Explorer (IE) versions 5.01
and 5.5 installed, are advised to install the patches provided by
Microsoft.
Links and descriptions to these patches are available at the end of
this
document.
Scan and Clean PE_ELKERN (.A and .B variants) infected files:
2. Create Emergency Rescue Disk (ERDs). For the details on how to create an
ERD, please refer to:
http://www.antivirus.com/pc-cillin/support/edisks.htm
Note: To create an ERD you will need another virus-free computer and 4-5
floppy disks.
3. Turn off the computer you suspect is infected with a virus. Do not reset
or reboot because some viruses
may remain intact in the computer's memory.
4. Insert disk 1 into your A: drive and turn on the computer.
5. Follow the on screen prompts.
6. Type this command:
A:\Pcscan /v /c /A /NOBKUP.
Then follow the instructions.
Note: This will scan and clean all infected files.
7. Reboot your system to Windows.
Clean the system of WORM_KLEZ (.A, .B, .C, .E, .I, .G variants):
8. Turn off all applications running in your system, including any
antivirus software that may be installed, to avoid conflicts
that may occur while the tool is scanning the system.
9. Disconnect the system from the network to avoid reinfection
while the tool is cleaning the system. It is also recommended that you
run "Net Use" before running the tool in your network, and
then take note of the shared folders, as this tool has an option
to remove these netshares.
10. Place FIX_KLEZ.COM in a temporary directory or folder.
11. Open a Command Prompt (MS-DOS Prompt) and proceed to the directory
where the tool was copied. Type:
FIX_KLEZ.COM
Note: There are times that the tool may need to be re-executed after reboot.
Please take note of the messages after running the fix tool.
12. Enable all antivirus software that is installed and perform a
manual scan.
13. Please restore critical folders that are not used to share files
outside of the computer.
For Windows NT/2K:
1. Before using this tool, users, specifically those with Internet
Explorer (IE) versions 5.01
and 5.5 installed, are advised to install the patches provided by
Microsoft.
Links and descriptions to these patches are available at the end of
this
document.
Scan and Clean PE_ELKERN (.A and .B variants) infected files:
Option 1:
2. Under NTFS file systems, creating ERDs will not work. You should slave
your hard disk from a 100% clean system.
3. Scan and clean the system's infected hard disk using the latest pattern
file.
4. Boot from the infected hard disk.
Option 2:
1. You need an installer of Windows 2000
2. Boot from cd
3. Select repair, then console. This will allow you to boot from a CD and
modify the system file WQK.DLL.
4. Remove hidden and read only attribute through this command:
attrib -h -r WQK.DLL
5. Create folder WQK.DLL.
6. Reboot the machine.
Clean the system from WORM_KLEZ (.A, .B, .C, .E, .I, .G variants):
8. Turn off all applications running in your system, including any
antivirus software that may be installed, to avoid conflicts
that may occur while the tool is scanning the system.
9. Disconnect the system from the network to avoid reinfection
while the tool is cleaning the system. It is also recommended that you
run "Net Use" before running the tool in your network, and
then take note of the shared folders, as this tool has an option
to remove these netshares.
10. Place FIX_KLEZ.COM in a temporary directory or folder.
11. Open a Command Prompt (MS-DOS Prompt) and proceed to the directory
where the tool was copied. Type:
FIX_KLEZ.COM
Note: There are times that the tool may need to be re-executed after reboot.
Please take note of the messages after running the fix tool.
12. Enable all antivirus software that is installed and perform a
manual scan.
13. Please restore critical folders that are not used to share files
outside of the computer.
III. Description
This tool is designed to clean a system that was infected by WORM_KLEZ
(.A, .B, .C, .E, .I, .G variants)
and PE_ELKERN (.A and .B variants).
The tool supports the following features:
o Scan and remove WORM_KLEZ (A,C,E,I,G variants) and PE_ELKERN
(A and B variants) from memory.
o Remove worm's registry entries.
a.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run\krn132
b.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run\wqk
c.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run\WinSvc
d.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run\Wink* (where * is any
randomly selected characters)
Under Windows NT/2000
a. HKLM\SYSTEM\CurrentControlSet\Services\KernelSvc\
b. HKLM\SYSTEM\CurrentControlSet\Services\Krn132\
c. HKLM\SYSTEM\CurrentControlSet\Services\Wink* (where
* is any randomly selected characters)
Under Windows 2000
c. HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs
o Remove drop files.
a. %systemdir%\krn132.exe
b. %systemdir%\winsvc.exe
c. %systemdir%\wink*.exe (where * is any randomly
selected characters)
under windows 95/98/ME
b. %systemdir%\wqk.exe
under Windows 2000
c. %systemdir%\wqk.dll
IV. Parameters
This tool has no parameters. Simply execute the tool by
double-clicking it or by typing FIX_KLEZ.COM
and pressing the return key. It will automatically perform the
features described in the Description section.
V. Syntax
Run FIX_KLEZ.COM without any parameter(s) or double click it
from EXPLORER
o Scan and remove WORM_KLEZ (.A, .B, .C, .E, .I, .G variants)
and PE_ELKERN (.A and .B variants) from memory.
o Remove worm's registry entries
o Remove dropped files
o Stop and remove virus/worm services
VI. Requirements
This tool is designed to run under Windows NT/2000 and Windows 9X/ME.
For this tool to execute properly under Windows NT/2000 it needs the
following DLL file:
o PSAPI.DLL
Make sure that this file is present in the "Winnt\system32" directory.
VII. Notes
1. The tool will flag a file as WORM_KLEZ (.A, .B, .C, .E, .I, .G
variants) when the file itself is
an exact copy of the worm in its original form. It will delete the
said file to remove it from the system.
3. FIX_KLEZ.COM is a Windows Executable file renamed to .COM to
prevent it from being infected by common Win32 viruses.
VIII. Known Issues
1. For WinME systems, deleted files are still in the System Restore
folder due to WinME's Restore feature. When an infected file is
deleted, the Restore folder of WinME will back up the file for
future restoration. The user must manually delete this file in
the Restore folder. Please visit the following Web site for a
description and more detailed information on how to remove
the contents of the _Restore folder:
http://support.microsoft.com/support/kb/articles/Q263/4/55.ASP?LN=EN-US&SD=SO&FR=0
2. After rebooting, NT machines will restore the shares of ALL
DEFAULT DRIVES.
3. For PE_ELKERN (.A and .B variants) infected files that currently
are being used by another program, cleaning is not possible. Thus, a reboot and
scan using our virus scanner is needed to clean these files.
4. Under Windows NT/2000, the worm registers itself as a service. When
it registers itself as a service, the following registry
keys are automatically created and therefore must be deleted to
prevent the worm from re-activating again:
a. HKLM\SYSTEM\CurrentControlSet\Services\KernelSvc
b. HKLM\SYSTEM\CurrentControlSet\Services\Krn132
c. HKLM\SYSTEM\CurrentControlSet\Services\Wink* (where * is any
randomly selected characters)
5. As previously mentioned, this tool cannot clean files infected with
PE_ELKERN (.A and .B variants). After running this tool, it is necessary to
reboot the computer, then run our product to detect and clean files
infected with PE_ELKERN (.A and .B variants). Other files detected as
WORM_KLEZ (.A, .B, .C, .E, .I, .G variants) can also be deleted.
6. There are instances that both the worm and the virus would drop
files with random filenames and subsequently execute these files.
While these files are currently running in memory, it will detect
any changes made to the registry entries that it created.
When it detects these, it will restore them again. Since this tool
is not capable of detecting the PE_ELKERN (.A and .B variants)
processes/services in memory,
it is necessary to execute the tool once again after restarting the
computer to remove the virus' registry entries. Afterwards, run the HouseCall
virus scanner to scan and
clean files infected with PE_ELKERN (.A and .B variants) Other
detected copies of WORM_KLEZ (.A, .B, .C, .E, .I, .G variants) can be deleted.
7. Since its virus component has the capability to infect files that
Windows loads during startup.
Beacuse of this it is necessary that you use Emergency Repair Disks
to scan and clean infected files.
8. Like PE_FUNLOVE.4099, the virus component PE_ELKERN (.A and .B
variants) has the capability to infect all Windows executables including
applications
that Windows loaded during system startup. So it is necessary to
strictly follow the cleaning procedures depending on your Windows platform.
9. Under Windows 2000, the virus component drops and accesses the file
WQK.DLL in the Windows system directory. Because of this, this file will keep
on reappearing if you execute the fix tool without cleaning the infected files
of PE_ELKERN (.A and .B variants). Similarly,
this registry entry will be persistent in your system.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = "Wqk.dll"
Note: The current verion of this tool does not support scanning and
cleaning of the infected file.
IX. Microsoft Fixes/Upgrades:
1. For those who use Internet Explorer (IE) versions 5.01 and 5.5
please use the fix for IE MIME Header Attachment Execution
Vulnerability
found at:
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp>
X. History:
version 1.00 - first release
version 1.10 - Fix bug on Windows 2000 processes
Add log file
Add Innoculation of the system
version 1.20 - Fix bugs
Add Windows platform information in the log file
version 2.00 - Include support for WORM_KLEZ.E and PE_ELKERN.B
version 3.00 - Include support for WORM_KLEZ.I and PE_ELKERN.B
version 3.01 - Rename TROJ_KLEZ to WORM_KLEZ; fix_bugs in killing klez_e
service; add log for klez_e
version 3.02 - Modify log file format
version 3.10 - Add supoort for variant .G
XI. Others
This tool has been tested under the following platforms:
Windows 9x
Windows ME
Windows NT 4.0 Workstation and Server
Windows 2000 Professional and Server
XII. For more information regarding these viruses, please visit our Web site
at:
<http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.A>
<http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.B>
<http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.C>
<http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.E>
<http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.G>
<http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.I>
<http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_ELKERN.A>
<http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_ELKERN.B>
--------------
--------------
--------------------------------
*************************************** ************************************
FIX_KLEZ (la version 3.10)
Trend Micro, Inc.
Http: // www.antivirus.com
*************************************** ************************************
I. Liste de Fichier
O FIX_KLEZ.COM - fixent l'outil pour WORM_KLEZ (.A.B.C.E.I.G
des variantes) et PE_ELKERN (.A et des variantes .B)
O README_KLEZ.TXT - ce fichier readme
II. Comment Utiliser
** NOTE IMPORTANTE : Cet outil enlève seulement WORM_KLEZ (.A.B.C.E.I.G des
variantes), PE_ELKERN (.A et des variantes .B),
Des processus/services infectés, des entrées d'enregistrement et
actuellement la course(direction) de fichiers baissés, donc la seule voie à
entièrement propre le système doit diriger cet outil, réamorcer le système,
diriger l'outil de nouveau et utiliser notre scanner viral pour détecter et
supprimer des fichiers détectés comme WORM_KLEZ (.A.B.C.E.I.G des variantes) et
des fichiers propres détectés comme PE_ELKERN (.A et des variantes .B). Il y a
un possibilty que ce virus infectera des fichiers de système utilisés par
Les fenêtres ou des autres demandes(applications), supprimant ainsi
ces fichiers peuvent causer des Fenêtres ou d'autres demandes(applications)
pour mal fonctionner.
Pour Windows 95/98/me :
1. Avant utilisation de cet outil, utilisateurs, spécifiquement ceux avec
Internet Explorer (C'EST-À-DIRE) versions 5.01
Et 5.5 installé, conseillent pour d'installer les pièces fournies par
Microsoft.
Les liaisons et des descriptions à ces pièces sont disponibles à la
fin de cela
Document.
Feuilletage et PE_ELKERN Propre (.A et variantes .B) fichiers infectés :
2. Créer le Cas d'urgence Sauvent le Disque (ERDs). Pour les détails sur la
façon de créer un ERD, référez-vous s'il vous plaît :
Http: // www.antivirus.com/pc-cillin/support/edi sks.htm
Notez : Pour créer un ERD vous aurez besoin d'un autre sans virus
l'ordinateur et 4-5 disquettes.
3. Éteindre l'ordinateur que vous soupçonnez est infecté d'un virus. Ne
remettez pas ou réamorcez parce que quelques virus
Peut rester intact dans la mémoire(le souvenir) de l'ordinateur.
4. Insérer le disque 1 dans votre A : la commande et allume l'ordinateur.
5. Suivre le sur l'écran incite.
6. Taper cette commande :
A:\Pcscan/v/c/A/NOBKUP.
Suivez alors les instructions.
Notez : Cela parcourra et nettoiera tous les fichiers infectés.
7. Réamorcer votre système aux Fenêtres.
Nettoyez le système de WORM_KLEZ (.A.B.C.E.I.G des variantes) :
8. Éteindre toutes les demandes(applications) courant dans votre système, y
compris chacun
Le logiciel antivirus qui peut être installé, éviter des conflits
Cela peut arriver tandis que l'outil parcourt le système.
9. Débrancher le système du réseau pour éviter la réinfection
Tandis que l'outil nettoie le système. On le recommande aussi que vous
Dirigé "Utilisation Nette" avant course(direction) de l'outil dans
votre réseau et
Tenez alors compte des dossiers partagés, comme cet outil a une option
Enlever ces netshares.
10. Placer FIX_KLEZ.COM dans une liste d'adresses provisoire ou un dossier.
11. Ouvrir une Commande Sans faute (MS-DOS Sans faute) et passer à la liste
d'adresses
Où l'outil a été copié. Type :
FIX_KLEZ.COM
Notez : Il y a des temps que l'outil peut devoir être re-exécuté après
réamorcent.
Tenez s'il vous plaît compte des messages après la course(direction)
de l'outil se fixant.
12. Permettre tout le logiciel antivirus qui est installé et exécuter a
Feuilletage manuel.
13. Reconstituez(rétablissez) s'il vous plaît les dossiers critiques qui ne
sont pas utilisés pour partager des fichiers
À l'extérieur de l'ordinateur.
Pour Windows NT/2k :
1. Avant utilisation de cet outil, utilisateurs, spécifiquement ceux avec
Internet Explorer (C'EST-À-DIRE) versions 5.01
Et 5.5 installé, conseillent pour d'installer les pièces fournies par
Microsoft.
Les liaisons et des descriptions à ces pièces sont disponibles à la
fin de cela
Document.
Feuilletage et PE_ELKERN Propre (.A et variantes .B) fichiers infectés :
Option 1 :
2. Sous des systèmes de fichiers NTFS, créant ERDs ne travaillera pas. Vous
devriez travailler comme un forçat votre disque dur d'un système propre de 100
%.
3. Parcourir et nettoyer le disque dur infecté du système utilisant le
dernier fichier de modèle.
4. Coffre(botte) du disque dur infecté.
Option 2 :
1. Vous avez besoin d'un installateur de Windows 2000
2. Coffre(botte) de cd
3. Choisir la réparation, consolez ensuite . Cela vous permettra de
démarrer d'un CD et modifiera le fichier de système WQK.DLL.
4. Enlever caché et lire seulement l'attribut par cette commande :
Attrib-h-r WQK.DLL
5. Créer le dossier WQK.DLL.
6. Réamorcer la machine.
Nettoyez le système de WORM_KLEZ (.A.B.C.E.I.G des variantes) :
8. Éteindre toutes les demandes(applications) courant dans votre système, y
compris chacun
Le logiciel antivirus qui peut être installé, éviter des conflits
Cela peut arriver tandis que l'outil parcourt le système.
9. Débrancher le système du réseau pour éviter la réinfection
Tandis que l'outil nettoie le système. On le recommande aussi que vous
Dirigé "Utilisation Nette" avant course(direction) de l'outil dans
votre réseau et
Tenez alors compte des dossiers partagés, comme cet outil a une option
Enlever ces netshares.
10. Placer FIX_KLEZ.COM dans une liste d'adresses provisoire ou un dossier.
11. Ouvrir une Commande Sans faute (MS-DOS Sans faute) et passer à la liste
d'adresses
Où l'outil a été copié. Type :
FIX_KLEZ.COM
Notez : Il y a des temps que l'outil peut devoir être re-exécuté après
réamorcent.
Tenez s'il vous plaît compte des messages après la course(direction)
de l'outil se fixant.
12. Permettre tout le logiciel antivirus qui est installé et exécuter a
Feuilletage manuel.
13. Reconstituez(rétablissez) s'il vous plaît les dossiers critiques qui ne
sont pas utilisés pour partager des fichiers
À l'extérieur de l'ordinateur.
III. Description
Cet outil est conçu pour nettoyer un système qui a été infecté par
WORM_KLEZ (.A.B.C.E.I.G des variantes)
Et PE_ELKERN (.A et variantes .B).
L'outil soutient les fonctions(dispositifs) suivantes :
O Feuilletage et proximité WORM_KLEZ (A, C, E, moi, G
variantes) et PE_ELKERN (un et variantes B) de mémoire(souvenir).
O Enlève les entrées d'enregistrement du ver.
A. HKLM\SOFTWARE\Microsoft\Windows\Current
Version\run\krn132
B. HKLM\SOFTWARE\Microsoft\Windows\Current
Version\run\wqk
C. HKLM\SOFTWARE\Microsoft\Windows\Current
Version\run\WinSvc
D. HKLM\SOFTWARE\Microsoft\Windows\Current
Version\run\Wink* (où * est chacun des caractères(personnages) aléatoirement
choisis)
Sous Windows NT/2000
A. HKLM\SYSTEM\CurrentControlSet\Services\ KernelSvc\
B. HKLM\SYSTEM\CurrentControlSet\Services\ Krn132\
C. HKLM\SYSTEM\CurrentControlSet\Services\ Wink* (où *
est chacun des caractères(personnages) aléatoirement choisis)
Sous Windows 2000
C. HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs
O la Proximité laissent tomber des fichiers.
A. %systemdir %\krn132.exe
B. %systemdir %\winsvc.exe
C. %systemdir %\wink*.exe (où * est chacun des
caractères(personnages) aléatoirement choisis)
Sous Windows 95/98/me
B. %systemdir %\wqk.exe
Sous Windows 2000
C. %systemdir %\wqk.dll
IV. Paramètres
Cet outil n'a aucun paramètre. Exécutez simplement l'outil en
y double cliquant ou en tapant FIX_KLEZ.COM
Et pression de la clef de retour. Il exécutera automatiquement les
fonctions(dispositifs) décrites dans la section de Description.
V. Syntaxe
Dirigé FIX_KLEZ.COM sans aucun paramètre (s) ou double-clic cela
D'EXPLORATEUR(de SONDE)
O Feuilletage et proximité WORM_KLEZ (.A.B.C.E.I.G variantes)
et PE_ELKERN (.A et variantes .B) de mémoire(souvenir).
O Enlève les entrées d'enregistrement du ver
O la Proximité a laissé tomber des fichiers
O Arrêt et services de virus/ver de proximité
VI. Exigences(conditions)
Cet outil est conçu pour fonctionner sous Windows NT/2000 et des
Fenêtres 9X/ME.
Pour cet outil pour exécuter correctement sous le Windows NT/2000 cela
a besoin le
Après fichier DLL :
O PSAPI.DLL
Assurer que ce fichier est présent dans la liste d'adresses
"Winnt\system32".
VII. Notes
1. L'outil fera(sera) le drapeau un fichier comme WORM_KLEZ
(.A.B.C.E.I.G des variantes) quand le fichier lui-même est
Une copie exacte du ver en sa forme originale. Il supprimera mentionné
fichier pour l'enlever du système.
3. FIX_KLEZ.COM est des Fenêtres le fichier Exécutable rebaptisé à
.COM à
Empêcher-le d'être infecté par des virus Win32 communs.
VIII. Questions(publications) Connues
1. Pour des systèmes WinME, les fichiers supprimés sont toujours dans
le Système Reconstituent(Rétablissent)
Le dossier en raison de WinME Reconstitue(Rétablit) la fonction(le
dispositif). Quand un fichier infecté est
Supprimé, le dossier se Reconstituant(se Rétablissant) de WinME
confirmera le fichier pour
Restauration future. L'utilisateur doit manuellement supprimer ce
fichier dans
Le dossier se Reconstituant(se Rétablissant). Visitez s'il vous plaît
le site Web suivant pour a
La description et l'information plus détaillée sur la façon d'enlever
Le contenu du dossier _Restore :
Http: // support.microsoft.com/support/kb/articl es/Q263/4/55. ASP ?
LN=EN-US*SD=SO*FR=0
2. Après réamorçant, NT des machines reconstituera(rétablira) les
parts(actions) d'entre TOUT
COMMANDES DE DÉFAUT.
3. Pour PE_ELKERN (.A et des variantes .B) les fichiers infectés qui
sont actuellement utilisés selon un autre programme, le nettoyage ne sont pas
possibles. Ainsi, un réamorçant et le feuilletage utilisant notre scanner viral
est nécessaire pour nettoyer ces fichiers.
4. Sous Windows NT/2000, les enregistreurs de ver lui-même comme un
service. Quand il s'enregistre comme un service, l'enregistrement suivant
Les clefs sont automatiquement créées et doivent donc être supprimées
pour empêcher le ver de réactiver de nouveau :
A. HKLM\SYSTEM\CurrentControlSet\Services\ KernelSvc
B. HKLM\SYSTEM\CurrentControlSet\Services\ Krn132
C. HKLM\SYSTEM\CurrentControlSet\Services\ Wink* (où * est
chacun des caractères(personnages) aléatoirement choisis)
5. Comme précédemment mentionné, cet outil ne peut pas nettoyer des
fichiers infectés de PE_ELKERN (.A et des variantes .B). Après la
course(direction) de cet outil, c'est nécessaire pour
Réamorcer l'ordinateur, dirigez ensuite notre produit pour détecter et
nettoyer des fichiers infectés de PE_ELKERN (.A et des variantes .B). D'autres
fichiers détectés comme
WORM_KLEZ (.A.B.C.E.I.G des variantes) peut aussi être supprimé.
6. Il y a des cas qui tant le ver que le virus laisseraient tomber des
fichiers avec des noms de fichier aléatoires et exécuteraient par la suite ces
fichiers.
Tandis que ces fichiers courent actuellement dans la mémoire(le
souvenir), il détectera n'importe quels changements faits aux entrées
d'enregistrement qu'il a créées.
Quand il détecte ceux-ci, il les reconstituera(rétablira) de nouveau.
Puisque cet outil n'est pas capable de détecter le PE_ELKERN (.A et des
variantes .B) des processus/services dans la mémoire(le souvenir),
Il est nécessaire d'exécuter l'outil de nouveau après la reprise de
l'ordinateur pour enlever les entrées d'enregistrement du virus. Ensuite,
dirigez le scanner viral HouseCall pour parcourir et
Des fichiers propres infectés de PE_ELKERN (.A et des variantes .B)
d'Autres copies détectées de WORM_KLEZ (.A.B.C.E.I.G des variantes) peuvent
être supprimés.
7. Puisque son composant viral a la capacité d'infecter des fichiers
que les Fenêtres chargent pendant le démarrage.
Beacuse de cela il est nécessaire que vous utilisiez le Cas d'urgence
Réparent des Disques pour parcourir et nettoyer des fichiers infectés.
8. Comme PE_FUNLOVE.4099, le composant viral PE_ELKERN (.A et des
variantes .B) a la capacité d'infecter toutes les Fenêtres executables incluant
des demandes(applications)
Ces Fenêtres chargées pendant démarrage de système. Donc il est
nécessaire de strictement suivre les procédures se nettoyant selon votre
plate-forme de Fenêtres.
9. Sous Windows 2000, le composant viral laisse tomber et a accès au
fichier WQK.DLL dans la liste d'adresses de système de Fenêtres. À cause de
cela, ce fichier continuera à réapparaître si vous exécutez l'outil se fixant
sans nettoyer les fichiers infectés de PE_ELKERN (.A et des variantes .B). De
même
Cette entrée d'enregistrement sera persistante dans votre système.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = "Wqk.dll"
Noter : le courant verion de cet outil ne soutient pas de balayage et
le nettoyage du fichier infecté.
IX. Microsoft Fixe/Met À niveau :
1. Pour ceux qui utilisent Internet Explorer (C'EST-À-DIRE) les versions
5.01 et 5.5
Utilisez s'il vous plaît le fixé pour C'EST-À-DIRE Vulnérabilité
d'Exécution d'Attachement de Coup de tête(de Chute,d'En-tête) de MIME
Trouvé à :
< Http: // www.microsoft.com/technet/treeview/defa ult.asp ? Url
=/technet/security/bulletin/MS01-020.as p >
X. Histoire :
La version 1.00 - sort d'abord
La version 1.10 - Fixe le bogue(défaut) sur des processus de Windows 2000
Ajouter le fichier de rondin
Ajouter Innoculation du système
La version 1.20 - Fixe des bogues(défauts)
Ajouter l'information de plate-forme de Fenêtres dans le fichier de
rondin
La version 2.00 - Inclut l'appui pour WORM_KLEZ.E et PE_ELKERN.B
La version 3.00 - Inclut l'appui pour WORM_KLEZ.I et PE_ELKERN.B
La version 3.01 - Rebaptise TROJ_KLEZ À WORM_KLEZ; fix_bugs dans meurtre klez_e
service; ajoutez le rondin pour klez_e
La version 3.02 - Modifie le format de fichier de rondin
La version 3.10 - Ajoute supoort pour la variante .G
XI. D'autres
Cet outil a été évalué sous les plates-formes suivantes :
Fenêtres 9x
Fenêtres MOI
Windows NT 4.0 Poste de travail et Serveur
Professionnel de Windows 2000 et Serveur
XII. Pour plus d'information quant à ces virus, visitez s'il vous plaît notre
site Web à :
< Http: // www.antivirus.com/vinfo/virusencyclo/de fault5.asp ?
VName=WORM_KLEZ.A >
< Http: // www.antivirus.com/vinfo/virusencyclo/de fault5.asp ?
VName=WORM_KLEZ.B >
< Http: // www.antivirus.com/vinfo/virusencyclo/de fault5.asp ?
VName=WORM_KLEZ.C >
< Http: // www.antivirus.com/vinfo/virusencyclo/de fault5.asp ?
VName=WORM_KLEZ.E >
< Http: // www.antivirus.com/vinfo/virusencyclo/de fault5.asp ?
VName=WORM_KLEZ.G >
< Http: // www.antivirus.com/vinfo/virusencyclo/de fault5.asp ?
VName=WORM_KLEZ.I >
< Http: // www.antivirus.com/vinfo/virusencyclo/de fault5.asp ?
VName=PE_ELKERN.A >
< Http: // www.antivirus.com/vinfo/virusencyclo/de fault5.asp ?
VName=PE_ELKERN.B >
Other related posts:
- » [helpc] RE : Virus: Klez (= Klez.E, Klez.H)
