Hallo!

Gister ff me email opgehaald, me cursor stond op een 1 of ander mailtje en BAM! de win32 Klez-h worm sloeg toe op mijn pc

Dit is echt de alleragressievste Worm die ik ooit heb gezien.. Om te beginnen molt hij je virusscanner, en dan gaat hij lekker je .Exe bestanden mollen! Gelukkig heb ik er een aantal proggies tegen kunnen vinden, en na meerdere scans lijkt me systeem weer schoon te zijn..

Hier een stukje info over deze worm (bron Virus information center)

Win32.Klez.H
A mass-mailing, network-aware worm.

Computer Associates International, Inc.
April 17, 2002



Also known as Win32/Klez.H.Worm, WORM_KLEZ.G and Win32.Klez.H@mm



For more information, please visit the Win32.Klez.H description in our Virus Encyclopedia.
Win32.Klez.H is a mass mailing, network aware worm that spreads by using SMTP and through taking advantage of open network shares. In addition, it drops a polymorphic file infector virus into the Program Files directory.

The body of the message may be constructed from a list of phrases inside the virus. Each message contains HTML code which exploits the "Incorrect MIME Header" vulnerability in Internet Explorer, Outlook and Outlook Express. If successful, the e-mail attachment will be opened on viewing the message, without the user's knowledge.
For more information on this vulnerability, see:

http://www.microsoft.com/technet/security/bulletin/ms01-020.asp

The attachment names vary as they are randomly generated. The extension is randomly chosen from the following list:
.exe
.scr
.pif
.bat


Klez.H uses a variety of Subject lines that can include the following words and phrases:

how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures
Detected
Hi,
Hello,
Re:
Fw:
Undeliverable mail--"*****"
Returned mail—“*****"
a ***** ***** game
a ***** ***** tool
a ***** ***** website
a ***** ***** patch
***** removal tools


The Subject line may also include the name of the recipient.

The message body can be randomly constructed or in some cases left empty. The following is a sample list that contains words and phrases that may be used to construct the message body. The worm may also use the words and phrases listed above for Subject construction:

The following mail can't be sent to *****:
The attachment
The file
is the original mail
give you the *****
is a ***** dangerous virus that *****
can infect on Win98/Me/2000/XP.
spread through email.
very
special
http://
www.
.com
For more information,please visit
This is
This game is my first work.
You're the first player.
I ***** you would ***** it.
enjoy
like
wish
hope
expect
Happy
Have a
Christmas
New year
Saint Valentine's Day
Allhallowmas
April Fools' Day
Lady Day
Assumption
Candlemas
All Souls'Day
Epiphany


where ***** is a word randomly selected from the following list:

new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky


Klez.H may use address 'spoofing' to make the e-mail it sends appear as if it has come from another machine. It uses addresses that it locates in the infected system to display in the "From" line of the e-mail.

The worm can also send a message with the Subject:

“Worm Klez.E immunity”

and the message body:

“Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me.”

When the attachment is executed, the worm drops a copy of itself into the System directory. It then sets up a registry key to run itself on Windows startup:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun="C: WINDOWSSYSTEM"

The file name and registry value name are identical, and are randomly generated, but always begin with "Wink". For example, "Winkhj.exe".

The worm creates further copies of itself by inserting its code into .rar archives. Note: On machines where Klez.H has activated, CA antivirus solutions report these files as infected; users need to manually delete infected files located inside archives.

Klez.H also drops and activates a polymorphic virus - Win32/Wqk.C.

The encrypted text inside the worm code reads:

“ & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing”


Klez also acts as a companion virus. It locates a Win32 PE program, copies it under a different name (using a random extension) and overwrites the original with the worm code (e.g. - it copies MSACCESS.EXE to MSACCESS.UYI and overwrites the original MSACCESS.EXE).

During this action the virus does not increase the size of the infected program and keeps its original resources so, it presents a user with the same icon. The copy of the original file is marked as system and hidden. It is also compressed. As such, the file is no longer a Win32 executable. When a user executes a file that has been overwritten with the worm code - for example - MSACCESS.EXE, the worm runs first, then it locates, decompresses and executes the original program.

Detection for this worm has been added to Computer Associates antivirus solutions. Install the latest relevant update to ensure protection.

InoculateIT Engine Virus Signature Update Files, Version 23.53.05 (Engine version 23.53.00)

Vet Engine Virus Signature Update Files, Vet sig will be 10.4.1987

Inoculan 4.0/InoculateIT 4.5x Virus Signature Update Files, Version 35.05 (Engine version 31.00)


Proggies om deze Worm te doden:
ftp://ftp.europe.f-secure.com/anti-virus/tools/kleztool.zip

Deze deed wat hij moest doen bij mij

Gij zijt gewaarschuwd!

[Dit bericht is gewijzigd door Snaack op 09-05-2002 13:32]

Ik ontvang ze dagelijks meerdere malen in mijn mailbox, tja helaas zijn die virussen altijd erg gevaarlijk. Zeker omdat ik ook nog eens outlook gebruik. Ik heb wel een virusscanner die een POP scan uitvoerd daardoor weet ik van te voren al welk(e) virus(sen) zijn binnengekomen

VIRUSSEN MOETEN ZE DODEN

Hmm, klote zooi.

Ik heb hem niet geloof ik. Heb eergister nog een recente versie van McAfee gedraaid. Ik kreeg 1 virus in een kdll.dll of zo. Maar het maffe was dat toen ik later nog een scande hij er niet meer was EN het bestand ook pleite was. Ik heb nog op de McAfee site gekeken over symptomen en wat er nog meer fout kon zitten maar ik had verder nergens last van.

Snap er dus geen reet van...

Ik heb eerst ook een mail geopend waar niks in stond. Hierna kapte me internet explorer ermee (zie oleaut32.dll topic). Vermoed dat het dus ook een virus was.
oh ja soms hangde me systeem ineens alles wat ik opende verscheen er een ongeldige bewerking.

Hing

Hmmzz.. mijn scanner vind helemaal nix meer Wel jammer dat die worm een legale versie van McAfee Virusscan gemold heeft GVDQ@#$%!@#

maar ja, system up and running, ik ben alleen ICQ, MediaPlayer, de software van mijn webcam en de trial van Filemaker Pro 5.5. kwijt.. Klote maar niet onoverkomelijk dus

quote:

---

Op 9 mei 2002 14:16 schreef Snaack het volgende:
Hmmzz.. mijn scanner vind helemaal nix meer Wel jammer dat die worm een legale versie van McAfee Virusscan gemold heeft GVDQ@#$%!@#

---

Vind je dat jammer van die virusscanner? Dat ding moet dit soort ongein voorkomen, wees blij dat die is gemold. Kan je tenminste een goede scanner downloaden.

quote:

---

Op 9 mei 2002 14:34 schreef Fire het volgende:
Vind je dat jammer van die virusscanner? Dat ding moet dit soort ongein voorkomen, wees blij dat die is gemold. Kan je tenminste een goede scanner downloaden.

---

zoals?

Ik heb nu zelf PC-cillin 2000 deze vind ik tot nu toe erg goed, heeft ook bijna dagelijks wel een update

ok dan thanx..

quote:

---

Op 9 mei 2002 14:34 schreef Fire het volgende:
Vind je dat jammer van die virusscanner? Dat ding moet dit soort ongein voorkomen, wees blij dat die is gemold. Kan je tenminste een goede scanner downloaden.

---

Ahum.. Het eerste dat deze worm doet is je virusscanner mollen, pas bij de 3e install van een gedownloade scanner ging die scanner werken..

Ik moest eerst in veilige modus opstarten, een speciaal anti-worm proggie draaien, daarna een full scan doen, daarna rebooten en weer een full scan doen..

Het lag dus niet aan de scanner, maar puur aan de kwaadaardigheid van deze worm! Zoals ik zei: dit is de meest evil worm die ik ooit gezien heb!

Meest eville? Hmm... misschien moet ik dan ook maar...

Oja als je outlook gebruikt zorg er dan altijd voor dat je de updates in de gaten houd. Anders openen die wormpjes zich automatisch

Oh, dat suckt. Ik gebruik Outlook... waar kan ik updates vinden?

op microsoft.com, maar das een mega lijst. Ik kijk meestal op http://virus.pagina.nl daar kijk een beetje rond op de nieuwe virussen en vaak staan daar wel links bij.

Voor dit virus is er deze pagina: http://www.virusalert.nl/?show=virus&id=268

onderaan vind je dan de microsoft patch

Ik heb ooit eens een mail gehad als die:
subject: Hi
Wat stond er als tekst: I'm sending you these documents in advance.
Ikke effe raar kijken, ook door het zien van de attachement, had maarliefst n bestandstypes, zoals oefening.doc.exe

klikte op die attachement, en, jaja, ik zag een bommetje bij hotmail, danmaar, teruggegaan naar inbox, en het knopje "delete" heeft zijn werk gedaan

Ha, ik zat daar even te kijken, maar hoe weet ik nu of ik Outlook moet updaten?

Ik ben Outlook Express 6.00.2600.0000

[Dit bericht is gewijzigd door Vargen666 op 09-05-2002 14:52]

quote:

---

Op 9 mei 2002 14:51 schreef Vargen666 het volgende:
Ha, ik zat daar even te kijken, maar hoe weet ik nu of ik Outlook moet updaten?

Ik ben Outlook Express 6.00.2600.0000

---

Ja das nou altijd het probleem dat ik ook heb soms d/l ik er een en dan zie ik wel of het geinstalt kan worden

Je moet Eudora Pro gebruiken.

Outlook

Damen und Herren, het minste wat jullie moeten doen om het risico te verminderen is (1)geen Outlook gebruiken (JavaVM, ActiveX controls, V, (2)geen IE geruiken (malicious HTML, Java enz.), geen Office bestanden afkomstig van andere computers openen (sowieso niet zonder eerst te scannen en eerst macro's in office uit te schakelen).
Winddoos
Join our crusade against the lying OS from nevaeh!!
(Waarom denken jullie dat Winddoos tijden het opstarten en als bureaublad hemelse wolkjes en eeuwige grasvelden laat zien? )

Eudora is wel een idee ja, daar ga ik eens naar kijken.

Maar ik MOET IE gebruiken. Aangezien andere browsers kut zijn en ik ook nog eens websites moet maken.

Opera is niet kut!

Ik zou het niet weten, maar ik voel me perfect met IE. Verder ken ik alleen Netscape ( ).

http://www.opera.com

Netschaapje 6.2 werkt ook wel ok