|
Dit topic is 2 pagina's lang: 1 2 | ||||
Auteur: |
|
|
Hallo! Gister ff me email opgehaald, me cursor stond op een 1 of ander mailtje en BAM! de win32 Klez-h worm sloeg toe op mijn pc Dit is echt de alleragressievste Worm die ik ooit heb gezien.. Om te beginnen molt hij je virusscanner, en dan gaat hij lekker je .Exe bestanden mollen! Gelukkig heb ik er een aantal proggies tegen kunnen vinden, en na meerdere scans lijkt me systeem weer schoon te zijn.. Hier een stukje info over deze worm (bron Virus information center) Win32.Klez.H A mass-mailing, network-aware worm. Computer Associates International, Inc. April 17, 2002 Also known as Win32/Klez.H.Worm, WORM_KLEZ.G and Win32.Klez.H@mm For more information, please visit the Win32.Klez.H description in our Virus Encyclopedia. Win32.Klez.H is a mass mailing, network aware worm that spreads by using SMTP and through taking advantage of open network shares. In addition, it drops a polymorphic file infector virus into the Program Files directory. The body of the message may be constructed from a list of phrases inside the virus. Each message contains HTML code which exploits the "Incorrect MIME Header" vulnerability in Internet Explorer, Outlook and Outlook Express. If successful, the e-mail attachment will be opened on viewing the message, without the user's knowledge. For more information on this vulnerability, see: http://www.microsoft.com/technet/security/bulletin/ms01-020.asp The attachment names vary as they are randomly generated. The extension is randomly chosen from the following list: .exe .scr .pif .bat Klez.H uses a variety of Subject lines that can include the following words and phrases: how are you let's be friends darling so cool a flash,enjoy it your password honey some questions please try again welcome to my hometown the Garden of Eden introduction on ADSL meeting notice questionnaire congratulations sos! japanese girl VS playboy look,my beautiful girl friend eager to see you spice girls' vocal concert japanese lass' sexy pictures Detected Hi, Hello, Re: Fw: Undeliverable mail--"*****" Returned mail—“*****" a ***** ***** game a ***** ***** tool a ***** ***** website a ***** ***** patch ***** removal tools The Subject line may also include the name of the recipient. The message body can be randomly constructed or in some cases left empty. The following is a sample list that contains words and phrases that may be used to construct the message body. The worm may also use the words and phrases listed above for Subject construction: The following mail can't be sent to *****: The attachment The file is the original mail give you the ***** is a ***** dangerous virus that ***** can infect on Win98/Me/2000/XP. spread through email. very special http:// www. .com For more information,please visit This is This game is my first work. You're the first player. I ***** you would ***** it. enjoy like wish hope expect Happy Have a Christmas New year Saint Valentine's Day Allhallowmas April Fools' Day Lady Day Assumption Candlemas All Souls'Day Epiphany where ***** is a word randomly selected from the following list: new funny nice humour excite good powful WinXP IE 6.0 W32.Elkern W32.Klez.E Symantec Mcafee F-Secure Sophos Trendmicro Kaspersky Klez.H may use address 'spoofing' to make the e-mail it sends appear as if it has come from another machine. It uses addresses that it locates in the infected system to display in the "From" line of the e-mail. The worm can also send a message with the Subject: “Worm Klez.E immunity” and the message body: “Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me.” When the attachment is executed, the worm drops a copy of itself into the System directory. It then sets up a registry key to run itself on Windows startup: HKLMSoftwareMicrosoftWindowsCurrentVersionRun="C: WINDOWSSYSTEM" The file name and registry value name are identical, and are randomly generated, but always begin with "Wink". For example, "Winkhj.exe". The worm creates further copies of itself by inserting its code into .rar archives. Note: On machines where Klez.H has activated, CA antivirus solutions report these files as infected; users need to manually delete infected files located inside archives. Klez.H also drops and activates a polymorphic virus - Win32/Wqk.C. The encrypted text inside the worm code reads: “ & Win32 Foroux V1.0 Copyright 2002,made in Asia About Klez V2.01: 1,Main mission is to release the new baby PE virus,Win32 Foroux 2,No significant change.No bug fixed.No any payload. About Win32 Foroux (plz keep the name,thanx) 1,Full compatible Win32 PE virus on Win9X/2K/NT/XP 2,With very interesting feature.Check it! 3,No any payload.No any optimization 4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing” Klez also acts as a companion virus. It locates a Win32 PE program, copies it under a different name (using a random extension) and overwrites the original with the worm code (e.g. - it copies MSACCESS.EXE to MSACCESS.UYI and overwrites the original MSACCESS.EXE). During this action the virus does not increase the size of the infected program and keeps its original resources so, it presents a user with the same icon. The copy of the original file is marked as system and hidden. It is also compressed. As such, the file is no longer a Win32 executable. When a user executes a file that has been overwritten with the worm code - for example - MSACCESS.EXE, the worm runs first, then it locates, decompresses and executes the original program. Detection for this worm has been added to Computer Associates antivirus solutions. Install the latest relevant update to ensure protection. InoculateIT Engine Virus Signature Update Files, Version 23.53.05 (Engine version 23.53.00) Vet Engine Virus Signature Update Files, Vet sig will be 10.4.1987 Inoculan 4.0/InoculateIT 4.5x Virus Signature Update Files, Version 35.05 (Engine version 31.00) Proggies om deze Worm te doden: ftp://ftp.europe.f-secure.com/anti-virus/tools/kleztool.zip Deze deed wat hij moest doen bij mij Gij zijt gewaarschuwd! [Dit bericht is gewijzigd door Snaack op 09-05-2002 13:32] |
|
Hmm, klote zooi. Ik heb hem niet geloof ik. Heb eergister nog een recente versie van McAfee gedraaid. Ik kreeg 1 virus in een kdll.dll of zo. Maar het maffe was dat toen ik later nog een scande hij er niet meer was EN het bestand ook pleite was. Ik heb nog op de McAfee site gekeken over symptomen en wat er nog meer fout kon zitten maar ik had verder nergens last van. Snap er dus geen reet van... |
|
Ik heb eerst ook een mail geopend waar niks in stond. Hierna kapte me internet explorer ermee (zie oleaut32.dll topic). Vermoed dat het dus ook een virus was. oh ja soms hangde me systeem ineens alles wat ik opende verscheen er een ongeldige bewerking. |
|
Hing |
|
Hmmzz.. mijn scanner vind helemaal nix meer Wel jammer dat die worm een legale versie van McAfee Virusscan gemold heeft GVDQ@#$%!@# maar ja, system up and running, ik ben alleen ICQ, MediaPlayer, de software van mijn webcam en de trial van Filemaker Pro 5.5. kwijt.. Klote maar niet onoverkomelijk dus |
|
quote:Vind je dat jammer van die virusscanner? Dat ding moet dit soort ongein voorkomen, wees blij dat die is gemold. Kan je tenminste een goede scanner downloaden. |
|
quote: zoals? Suck my piss |
|
Ik heb nu zelf PC-cillin 2000 deze vind ik tot nu toe erg goed, heeft ook bijna dagelijks wel een update |
|
ok dan thanx.. Suck my piss |
|
quote: Ahum.. Het eerste dat deze worm doet is je virusscanner mollen, pas bij de 3e install van een gedownloade scanner ging die scanner werken.. Ik moest eerst in veilige modus opstarten, een speciaal anti-worm proggie draaien, daarna een full scan doen, daarna rebooten en weer een full scan doen.. Het lag dus niet aan de scanner, maar puur aan de kwaadaardigheid van deze worm! Zoals ik zei: dit is de meest evil worm die ik ooit gezien heb! |
|
Meest eville? Hmm... misschien moet ik dan ook maar... |
|
Oja als je outlook gebruikt zorg er dan altijd voor dat je de updates in de gaten houd. Anders openen die wormpjes zich automatisch |
|
Oh, dat suckt. Ik gebruik Outlook... waar kan ik updates vinden? |
|
op microsoft.com, maar das een mega lijst. Ik kijk meestal op http://virus.pagina.nl daar kijk een beetje rond op de nieuwe virussen en vaak staan daar wel links bij. |
|
Voor dit virus is er deze pagina: http://www.virusalert.nl/?show=virus&id=268 onderaan vind je dan de microsoft patch |
|
Ik heb ooit eens een mail gehad als die: subject: Hi Wat stond er als tekst: I'm sending you these documents in advance. Ikke effe raar kijken, ook door het zien van de attachement, had maarliefst n bestandstypes, zoals oefening.doc.exe klikte op die attachement, en, jaja, ik zag een bommetje bij hotmail, danmaar, teruggegaan naar inbox, en het knopje "delete" heeft zijn werk gedaan Having heard the voice of Morrigan I am uilleannpiping my way through this world, powered by Guinness SLÁINTE |
|
Ha, ik zat daar even te kijken, maar hoe weet ik nu of ik Outlook moet updaten? Ik ben Outlook Express 6.00.2600.0000 [Dit bericht is gewijzigd door Vargen666 op 09-05-2002 14:52] |
|
quote:Ja das nou altijd het probleem dat ik ook heb soms d/l ik er een en dan zie ik wel of het geinstalt kan worden |
|
Je moet Eudora Pro gebruiken. Outlook |
|
Damen und Herren, het minste wat jullie moeten doen om het risico te verminderen is (1)geen Outlook gebruiken (JavaVM, ActiveX controls, V, (2)geen IE geruiken (malicious HTML, Java enz.), geen Office bestanden afkomstig van andere computers openen (sowieso niet zonder eerst te scannen en eerst macro's in office uit te schakelen). Winddoos Join our crusade against the lying OS from nevaeh!! (Waarom denken jullie dat Winddoos tijden het opstarten en als bureaublad hemelse wolkjes en eeuwige grasvelden laat zien? ) |
|
Eudora is wel een idee ja, daar ga ik eens naar kijken. Maar ik MOET IE gebruiken. Aangezien andere browsers kut zijn en ik ook nog eens websites moet maken. |
|
Opera is niet kut! |
|
Ik zou het niet weten, maar ik voel me perfect met IE. Verder ken ik alleen Netscape ( ). |
|
|
|
Netschaapje 6.2 werkt ook wel ok |
Dit topic is 2 pagina's lang: 1 2 |
Index / Algemeen | Volgende pagina |