WinFuture-Forum.de: Problem W32 Klez - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Problem W32 Klez kann W32 Klez nicht entfernen


#1 Mitglied ist offline   Untot 

  • Gruppe: aktive Mitglieder
  • Beiträge: 375
  • Beigetreten: 12. Januar 04
  • Reputation: 0

geschrieben 07. April 2004 - 10:23

Moin
habe mir W32 Klez eingefangen,
WinXp sp1b alle updates,
virus scanner Kapersky 4.5

kapersky findet den virus , ich sage löschen, doch er löscht nicht wirklich denn wenn ich dann nochmal scanne findet er ihn wieder habe es dann mit Mc Affee Stinger versucht, da kam die Meldung das ich es mal im Abgesicherten Modus versuchen soll, was ich dann auch getan habe, was kann man noch tun, weiß nun nicht ob es geht da ich zur zeit auf der Arbeit bin, wollte vielleicht mal wenn ich daheim bin den neuen Mc Affee antivirus testen , vielleicht könnt ihr mir ja ein paar tips geben,
am rechner ging nichts mehr sobald ich ins internet eingewählt war.
0

Anzeige



#2 Mitglied ist offline   radyr 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.019
  • Beigetreten: 05. September 03
  • Reputation: 84
  • Geschlecht:Männlich

geschrieben 07. April 2004 - 10:33

Der Wurm Klez 32

Der Wurm W32/Klez in seinen zahlreichen Varianten verbreitet sich nach wie vor in Größenordnungen, wie bisher kein anderer Wurm im Internet. Der Grund liegt auf der Hand: W32/Klez wartet mit einer nicht unerheblichen und teilweise recht pikanten Funktionsvielfalt auf. Diese Beschreibung ist allgemein gehalten und nicht vollständig, es wird keine spezielle Variante beschrieben. Weitere Informationen sind über entsprechende Links zu AV-Herstellern in unserer Rubrik "Aktuelle Virenwarnungen" enthalten.

Warum ist W32/Klez so stark vertreten?

In viele Fällen ist es noch nicht einmal erforderlich, dass der Anwender den Dateianhang einer eingehenden "Klez-Mail" öffnet. Der Wurm macht sich alte Sicherheitslücken von Mailprogrammen zu Nutze, die mit Hilfe des Browsers Internet Explorer HTML-Mails anzeigen. Der Dateianhang kann somit unter ungünstigen Voraussetzungen schon beim lesen der Mail gestartet werden oder sogar in der Vorschau.
Eine Ende ist noch immer nicht in Sicht, auch wenn die Infektionen zur Zeit ein wenig nachgelassen haben dürften. Theoretisch auch eine Verbreitung und Infizierung über eine eigens präparierte Webseite im Netz möglich.

Obendrein versucht Klez sehr viele AntiViren Programme außer Gefecht zu setzen. Hierzu wird der laufende Prozess der AV-Software beendet und für das jeweilige Produkt wichtige Dateien gelöscht. Klez ist hier besonders erfolgreich, wenn Virenscanner schon längere Zeit nicht mehr aktualisiert worden sind und somit auch der jeweilige Hintergrundwächter den Start von Klez nicht verhindern kann.

Klez ist auch nicht so ohne weiteres als laufender Prozess im Hintergrund des Systems erkennbar. Mittels der Tasten "Strg+Alt+Entf" ist dieser jedenfalls nicht sichtbar.

Sehr pikant ist auch die Tatsache, dass Klez sich unter ständig wechselnden und neuen Absendern (Mailadressen) von infizierten Systemen aus verschickt. Der Wurm nutzt dazu die Adressen aus dem Adressbuch des jeweilig infizierten Systems.

Hat es ein Klez-Wurm also erst einmal geschafft, sich auf einem System einzunisten, kann eine wahre Mailschleuder aus diesem PC werden. Denn W32/Klez sucht sich die Mailadressen aus dem Windows Adressbuch (WAB) und aus eingehenden E-Mails. Jedoch gibt sich der Wurm damit noch nicht zufrieden und durchsucht noch viele andere Dateien nach Mailadressen ab, an die er sich ebenfalls selber verschickt:
TXT, HTM, HTML, MP8, EXE, SCR, PIF, BAT, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 und PDF.

Somit sind also durchaus einige tausend verseuchte E-Mail von einem einzigen PC aus möglich.

Man nehme z.B. mal nur die Endungen HTML und HTM. Alle angesurften Seiten des Nutzers landen in den Browsercache. Je mehr Seiten darin enthalten sind, bedeutet das auch reichlich Mailadressen für den Wurm.

Oder besuchen viele mit Klez infizierte Systeme eine bestimmte Webseite, darf der Seitenbetreiber sich schon sehr bald an vielen eingehenden Wurm-Mail "erfreuen".

Im übrigen nutzt es herzlich wenig, wenn der Empfänger einer solchen Mail den Absender darüber informiert. Der Absender hat mit den Mails nichts zu tun und wird genauso erstaunt sein, wie der Empfänger selber. Es sei denn, der Absender ist zufällig auch mit diesem Wurm infiziert.

Sollte ein Netzwerk vorhanden sein, macht sich Klez auch hier gerne daran zu schaffen und versucht sich auch darüber zu verbreiten. Dazu nutzt er freigegebene Ordner und Laufwerke mit Schreib- und Leserechten.

Klez erkennen und entfernen

Die Existenz von Klez auf einem System kann eigentlich recht einfach ermittelt werden. Sollten sich die folgenden Dateien WQK.EXE und Wink?.exe im Verzeichnis "c:\windows\system(32)\" befinden, so ist höchste Alarmstufe angesagt ! Klez wird in der Regel von jedem aktualisierten Virenscanner auch erkannt. Auch das in den unten genannten Links genannte Cleaner Tool kann Klez identifizieren und entfernen.

Wir empfehlen jeden Anwender auch niemals Dateianhänge zu öffnen, die völlig unerwartet eintreffen. Das gilt auch insbesondere für eigentlich bekannte oder namenhafte Absender. Soll ein Austausch von Dateien per E-Mail stattfinden, so sollten sich Versender und Empfänger vorher unbedingt absprechen. Alles Andere sollte ungesehen gelöscht werden.

Microsoft Security Updates
Link 1 | Link 2

Klez Cleaner Tool von BitDefender
Downloadseite

Mehr über Klez mit weiteren Info-Links
Aktuelle Virenwarungen

Quelle: http://www.trojaner-...ezproblem.shtml vom 22.05.2002 hrhrr
0

#3 Mitglied ist offline   Untot 

  • Gruppe: aktive Mitglieder
  • Beiträge: 375
  • Beigetreten: 12. Januar 04
  • Reputation: 0

geschrieben 07. April 2004 - 10:56

Tausend dank für die schnelle und gute antwort,
werde mich sofort wenn ich daheim bin dran machen und mal mit den tools versuchen den Virus zu killen .
danke hrhrr
mfg
Untot
0

#4 Mitglied ist offline   reiner 

  • Gruppe: aktive Mitglieder
  • Beiträge: 485
  • Beigetreten: 10. November 03
  • Reputation: 0
  • Wohnort:Magdeburg

geschrieben 07. April 2004 - 14:25

Ergänzung :
Nicht vergessen - Systemwiederherstellung (wenn du WinXP einsetzt) ausschalten!
Sonst hast du den Sch...-Wurm beim nächsten System-Start wieder drauf - auch
wenn du ihn vorher erfolgreich entfernt hast !
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0