[helpc] Virus: Klez.H (= Klez.G, Klez.I) + nouceau fix
- From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
- To: <helpc@xxxxxxxxxxxxx>
- Date: Tue, 23 Apr 2002 20:59:33 +0200
VIRUS KLEZ.H (RAPPEL)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Cette alerte complète l'avertissement précédemment en raison du niveau
de propagation particulièrement préoccupant du virus. Pour mémoire,
Klez.H est capable de se propager par email, par ICQ et via les dossiers
partagés et se présente sous la forme d'un message dont le titre, le
corps et le nom du fichier attaché sont aléatoires : combinaisons
prédéfinies ("A special funny game", "A IE 6.0 patch", etc.), faux
messages d'erreur ("Undeliverable mail--"[sujet]" ou "Returned
mail--"[sujet]") ou faux utilitaire de protection contre une version
précédente du virus ("Worm Klez.E immunity"). Entre autres effets,
Klez.H supprime les antivirus et firewalls personnels les plus courants,
laissant l'ordinateur vulnérable notamment aux autres virus. Il peut par
ailleurs se propager accompagné d'un fichier pris sur le disque dur de
la victime, d'où un risque potentiel pour la confidentialité des
données. Pour s'en préserver, il est impératif de mettre à jour son
antivirus et le cas échéant d'appliquer les correctifs de sécurité
d'Internet Explorer/Outlook afin d'empêcher le virus de s'exécuter
automatiquement. Un utilitaire de désinfection est néanmoins disponible
pour rechercher et éliminer les virus Klez.E et Klez.H, ainsi que leur
virus associé ElKern.
http://www.secuser.com/outils/index.htm#windowsupdate
Virus
Klez.H (= Klez.G, Klez.I)
Klez.H est une variante du virus Klez.E conçue pour en maximiser la
propagation. En fonction des éditeurs d'antivirus, cette variante est
également connue sous le nom de Klez.G ou Klez.I.
Comme Klez.E, Klez.H est capable de se propager par email, par ICQ et
via les dossiers partagés. Il se présente sous la forme d'un message
dont le titre, le corps et le nom du fichier attaché sont aléatoires, et
s'exécute automatiquement à l'ouverture du mail ou lors de son affichage
dans la fenêtre de prévisualisation d'Outlook, si l'application n'a pas
été patchée contre une vulnérabilité MIME connue. Pour plus
d'informations, lire la fiche de Klez.E.
Outre les titres et corps de messages aléatoires et les faux message
d'erreur "Undeliverable mail--"[titre]" ou "Returned mail--"[titre]",
Klez.H se propage également sous la forme d'un mail intitulé "Worm
Klez.E immunity" qui promet à l'utilisateur de l'immuniquer contre le
virus Klez.E s'il exécute le fichier joint... qui n'est autre que le
virus Klez.H lui-même :
"Klez.E is the most common world-wide spreading worm. It's very
dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most
common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus. You
only need to run this tool once,and then Klez will never come into your
PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some
AV monitor maybe cry when you run it. If so,Ignore the warning,and
select 'continue'. If you have any question,please mail to me.".
Autres différences avec Klez.E, Klez.H installe une nouvelle version du
virus associé Elkern (ElKern.3326, ElKern.C ou ElKern.D selon les
éditeurs) et peut se propager accompagné d'un fichier pris au hasard sur
le disque dur de la victime (.txt, .htm, .html, .wab, .asp, .doc, .rtf,
.xls, .jpg, .cpp, .c, .pas, .mpg, .mpeg, .bak, .mp3 ou .pdf), d'où un
risque potentiel pour la confidentialité des données. Enfin,
contrairement à Klez.E Klez.H n'efface pas le contenu disque dur chaque
6ème jour de chaque mois impair, mais il supprime tout de même les
antivirus et firewalls personnels les plus courants, laissant
l'ordinateur vulnérable notamment aux autres virus.
Pour s'en préserver, il faut s'assurer être à jour dans ses correctifs
sécurité et supprimer le mail dès son arrivée dans la boîte de
réception.
Le site Windows <http://www.secuser.com/outils/index.htm#windowsupdate>
Update pour mettre à jour Internet Explorer, ou sinon le télécharger le
correctif français ici
<http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.
asp> (
<http://www.microsoft.com/technet/security/bulletin/MS01-020.asp>
Security Bulletin MS01-020)
Note :
Affected Software:
* Microsoft Internet Explorer 5.01
* Microsoft Internet Explorer 5.5
Note: Internet Explorer 5.01
<http://www.microsoft.com/windows/ie/download/ie501sp2.htm> Service Pack
2 is not affected by this vulnerability.
Utiliser l'utilitaire FIXKLEZ (Trend Micro) pour éliminer les virus
Klez.A, .B, .C, .E et .G/H/I, ainsi que le virus Elkern associé
Mail original :
Voici encore une fois tout ce que j?ai trouvé sur les virus de la
famille « klez »
Je reparle de ce(s) virus pour la simple et bonne raison que Gill et
Rudi se sont fait avoir et que donc le risque de le rencontrer est
important pour le moment( surtout depuis que Gill l?a :-) )
J?ajoute le fix qui connaît les versions A, B, C, E, G/H et le fichier
texte explicatif que j?ai fait traduire en français à la fin.
Grâce à ce chers « bêtatesteur » qu?est devenu Gill, j?ai constaté que
plus moyen d?installer d?antivirus, norton ne démarre plus, AVP(
Kaspersky) a son .exe qui disparaît, ?
Une solution est aussi l?antivirus gratuit en ligne :
www.secuser.com/antivirus/
Qui détecte bien le Klez.G?
Prudence donc et si trop tard, bonne chance :-(?
I-Worm.Klez.a-h (Klez Family)
This is virus-worm virus that spreads via the Internet attached to
infected e-mails. The worm itself is a Windows PE EXE file about 57-65Kb
(depending on its version) in length, and it is written in Microsoft
Visual C++.
Infected messages have variable subjects and attachment names (see
below). The worm uses an Internet Explorer security breach (IFRAME
vulnerability) to start automatically when an infected message is
viewed.
In addition to spreading in the local network and in e-mail messages,
the worm also creates a Windows EXE file with a random name starting
with "K" (i.e., KB180.exe), in a temporary folder, writes the
"Win32.Klez" virus in it, and launches the virus. The virus infects the
majority of Win32 PE EXE files on all available computer disks.
Start-up
When an infected file is started, the worm copies itself to a Windows
system folder with the krn132.exe name. Then it writes to registry the
following key to start automatically with Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Krn132 =
%System%\Krn132.exe
where %System% is the name of the Windows system folder.
Then the virus searches for active applications (anti-viruses, see the
list below) and forces them to unload using a Windows "TerminateProcess"
command:
_AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW,
NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC,
NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS
Replication: e-mail
The worm uses SMTP protocol to send e-mail messages. It finds e-mail
addresses in a WAB database and sends infected messages to these
addresses.
The subject of the infected message is selected randomly from the
following list:
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
The message body is the following:
I'm sorry to do so,but it's helpless to say sory.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?
Attached file: Win32 PE EXE file with random name, which has either an
".exe" extension or a double extension:
name.ext.exe
The worm selects the filename (name.ext) using an original routine. It
scans all available drives and finds there files with the following
file-name extensions:
.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg
It uses one of the found filenames (name.ext) as the base name of an
attachment, then it adds a second extension, ".exe". For example,
"Ylhq.htm.exe", "If.xls.exe", etc.
The worm inserts its own "From:" field into infected messages. Depending
on the random counter, it inserts there either a real e-mail address, or
a fake randomly generated address.
An interesting feature of the worm is that before sending infected
messages, the worm writes the list of found e-mail addresses in its EXE
file.
All strings in the worm's body (messages and addresses) are stored in an
encrypted state.
Replication: local and network drives
The worm enumerates all local drives and network resources with written
access and makes there its copy with a random name name.ext.exe (the
name-generation routine is similar to one which is used to generate
attachment names). After copying itself to network resources, the worm
registers its copies on remote computers as system service applications.
Payload
On the 13th of even months, the worm executes a payload routine, which
fills all files on all available victim s'computer disks with random
content. These files can't be recovered and must be restored from a
backup copy.
Other versions
There are several modifications of this worm. I-Worm.Klez.a-d are
similar, and have minor differences.
Klez.e-h are similar too, and have minor differences as well. See more
info about "Klez.h" below.
Klez.e
Installation
The worm copies itself to the Windows system directory with a random
name that starts from "Wink", i.e., "Winkad.exe".
Infection
The worm searches several registry keys for links to applications:
Software\Microsoft\Windows\CurrentVersion\App Paths
Then the worm tries to infect EXE applications that it finds. When
infecting an EXE, the worm creates a file with the same name and random
extension and also hidden+system+readonly attributes. This file is used
by the worm to run the original infected program. When the infected file
is run, the worm extracts the original file to a temp file with the
original filename plus 'MP8' and runs it.
The worm infects RAR archives by copying itself to archives with a
randomly generated name. The name of the infected file is selected from
the following list:
setup
install
demo
snoopy
picacu
kitty
play
rock
and has either one or two extensions, where the last one is ".exe",
".scr", ".pif" or ".bat".
Replication: e-mail
The subject of the infected message is either selected from the
following list or is generated randomly:
Hi,
Hello,
Re:
Fw:
how are you
let's be friends
darling
don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
The worm can also generate the subject of the message from the following
strings:
Undeliverable mail--%% Returned mail--%% a %% %% game a %% %% tool a %%
%% website a %% %% patch %% removal tools
Where %% is selected from the following list:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez
The body of the infected messages is either blank, or has randomly
generated contents.
Attached file: a Win32 PE EXE file with a random name, which has either
an ".exe" extension or a double extension.
The worm uses an IFrame security breach to launch automatically when an
infected message is viewed.
Payload
On the 6th of odd months, the worm executes a payload routine that fills
all available files on a victim's computer in local and network disks
with random content. These files can't be recovered and must be restored
from a backup copy.
Other
Klez.e randomly and depending on different conditions attaches randomly
selected files from the local disk to emails. Therefore the email
message has two attached files: 1. a copy of the worm and 2. an
additional file.
The worm looks for following file extensions for attachments:
.txt .htm .html .wab .doc .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3
As a result, the worm is able to send personal or confidential
information from the computer, disclosing it.
The worm scans for the active processes that contain the following
strings, and terminates them:
Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32
Klez.h
The Klez.h variant of the Klez worm family is very similar to Klez.e.
The differences are:
1. This variant has no payload and doesn't destroy files.
2. It brings with it additional variants of infected Messages,
Subjects and Bodies.
Example of a Klez.h email message Subject and Body content:
Worm Klez.E immunity
Klez.E is the most common world-wide spreading worm.It's very dangerous
by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most
common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into
your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some
AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me.
This worm looks for files with the following extensions:
.txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .c .pas .mpg .mpeg
.bak .mp3 .pdf
Depending on several conditions Klez.h attaches a file with one of the
above listed extensions to infected emails (as the second attached
file). As a result, confidential or personal information may be sent out
and made public.
Another example of Klez.h email message content:
Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from
having such idea to accomplishing coding and testing
How do I delete the Klez virus?
1) disconnect the infected PC from the local network (if exists)
2) run <ftp://ftp.kaspersky.ru/utils/clrav.com> clrav.com file
If the program says "nothing to clean" - run it from the command line
with the paramrter /scanfiles, for example:
C:\clrav.com /scanfiles
3) re-boot your PC in Safe Mode
4) run clrav.com again
5) reinstall the anti-virus package and update the anti-virus database
6) run Kaspersky AV Scanner and check all the hard drives
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx
-----Message d'origine-----
De : helpc-bounce@xxxxxxxxxxxxx [mailto:helpc-bounce@xxxxxxxxxxxxx] De
la part de Shaka( Rudy)
Envoyé : mercredi 17 avril 2002 19:26
À : helpc@xxxxxxxxxxxxx
Objet : [helpc] Virus: Klez (= Klez.E, Klez.H)
Virus
Klez (= Klez.E, Klez.H)
Klez.E est un virus qui se présente sous la forme d'un message dont le
titre, le corps et le nom du fichier attaché sont aléatoires. Parfois
accompagné d'une image, ce fichier possède une extension en .EXE, .PIF,
.COM, .BAT, .SCR ou .RAR, mais l'extention visible peut également être
.WAV ou .MID car le virus peut falsifier le content-type dans l'entête
du message (avec Outlook, la pièce jointe est alors invisible). Quelques
titres possibles :
A special new game
A special funny game
A IE 6.0 patch
A WinXP patch
Spice girls' vocal concert
Happy Lady Day
Hello,let's be friends
Run in DOS mode
How are you Let's be friends
Darling Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos! japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
Japanese lass' sexy pictures
Pretty Woman
Le virus peut également se propager sous la forme d'un faux message
d'erreur intitulé Undeliverable mail--"[titre]" ou "Returned
mail--"[titre]". Dans ce cas, le corps du message se présente sous la
forme suivante, le fichier attaché étant une copie du virus :
"The following mail can't be sent to [adresse email de la personne
infectée]:
From: [votre adresse email]
To: [adresse email de la personne infectée]
Subject: [titre]
The attachment is the original mail"
Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son
affichage dans la fenêtre de prévisualisation d'Outlook, si
l'application n'a pas été patchée contre une vulnérabilité MIME connue.
Si le fichier joint est exécuté, le virus se copie dans le répertoire
Système de Windows avec l'attribut "fichier caché" sous le nom WINK*.EXE
(où * est une chaîne de caractères aléatoire), modifie la base de
registres pour s'exécuter automatiquement au prochain démarrage, puis
copie dans le répertoire Système et exécute le fichier WQK.EXE
correspondant au virus ElKern. Klez.E extrait ensuite les adresses
emails contenues dans les carnets d'adresses Windows et ICQ pour
s'envoyer automatiquement à certains correspondants avec son propre
serveur SMTP, en utilisant généralement une fausse adresse email
d'expéditeur piochée dans une liste pré-établie :
pw246@xxxxxxxxxxxx
queen@xxxxxxxxxxxx
yaya@xxxxxxxxxx
atoz@xxxxxxxx
anti@xxxxxxxxxxxx
graph@xxxxxxxxxxxx
street@xxxxxxxxxxx
sani@xxxxxxxx
santurn@xxxxxxxxxxx
andy@xxxxxxxxxxx
little@xxxxxxxxx
gigi@xxxxxxxxxxxx
bet@xxxxxxxxxxxx
lily@xxxxxxxxx
sun@xxxxxxxxxxx
linda@xxxxxxxxxxx
raise@xxxxxxxxxx
rainrainman@xxxxxxxxxxxx
karala@xxxxxxxxxxxx
sammychen@xxxxxxxxxx
flywind@xxxxxxxxxx
suck@xxxxxxxxxx
urlove@xxxxxxxxxx
tutu@xxxxxxxxx
cheu@xxxxxxxx
xyz@xxxxxxxx
pet@xxxxxxxx
girl@xxxxxxxxxxxxxx
littlecat@xxxxxxxxxxxx
panshugang@xxxxxxxxxxx
pipti@xxxxxxxx
certpass@xxxxxxxx
powerhero@xxxxxxx
CR7269CH@xxxxxxxx
RUBENSOTOAGUI@xxxxxxxx
ACAMDR@xxxxxxxx
ol-petech@terra. es
ROSANAMOLTO@xxxxxxxx
MANUEL23@xxxxxxxx
cristian_soto@xxxxxxxx
carlos_nuevo@xxxxxxxx
Klez.E se propage le cas échéant via les dossiers partagés, puis
désactive et tente d'éliminer certains antivirus et firewalls, en
supprimant les clés de base de registres et répertoires correspondants :
_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR2
Enfin, le 6 de chaque mois impair (Janvier, Mars, Mai, Juillet,
Septembre, Novembre) le virus Klez.E écrase les principaux fichiers de
données du disque dur (TXT, HTM, HTML, WAB, DOC, XLS, CPP, C, PAS, MPEG,
MPG, BAK, MP3, et JPG) de manière à ce que leur contenu ne soit plus
récupérable.
Pour s'en préserver, il faut s'assurer être à jour dans ses correctifs
sécurité et supprimer le mail dès son arrivée dans la boîte de
réception. L'utilitaire de désinfection ci-dessous permet de rechercher
et d'éliminer Klez.A, Klez.B, Klez.C et Klez.E.
Une variante de Klez.E est en circulation depuis le 17/04/02 sous le nom
Klez.H. Capable de se propager également par email et via les dossiers
partagés, elle copie puis exécute une nouvelle version du virus Elkern
(Elkern.C) sous un nom aléatoire.
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx
mail de gill:
----- Original Message -----
From: Gill <mailto:gill@xxxxxxxxxxxx> Ruidant
To:; <mailto:marc@xxxxxxxxxxxxx> Marc ;; <mailto:montage@xxxxxxxxx>
Montage ; <mailto:technics@xxxxxxxxx> Technics ;
Sent: Friday, April 19, 2002 2:38 PM
Subject: Attention Virus Klez
Hello all,
Comme vous le savez certainement, mon PC a été infecté par le virus
Klez... nous avons su le supprimer de justesse...
Mais attention à vos emails !!!! Car il se propage par ce biais... je
viens encore de recevoir un mail à l'instant le contenant...
Donc, attention si vous recevez un msg avec ce sujet:
A special new game
A special funny game
A IE 6.0 patch
A WinXP patch
Spice girls' vocal concert
Happy Lady Day
Hello,let's be friends
Run in DOS mode
How are you Let's be friends
Darling Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos! japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
Japanese lass' sexy pictures
Pretty Woman
-> effacez le message... et surtout, n'ouvrez pas les attachement qui
pourtant, parraissent "vrais"...
et attention si vous recevez un message d'erreur qui dit que votre
message n'a pu être envoyé alors que vous n'avez jamais envoyé de msg à
cette personne -> effacez le message et idem, attention aux
attachement...
Vérifiez votre PC, car si il est présent sur votre disque, il supprime
votre antivirus (c'est du vécu) et tous les 6 de chaque mois impair, il
écrase tous vos fichiers de données (DOC, XLS, etc)...
Il existe des prgs spécifiques pour l'enlever... si besoin, faites appel
à Rudy !
A+
Gill.
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx
Other related posts:
- » [helpc] Virus: Klez.H (= Klez.G, Klez.I) + nouceau fix
