Beschreibung des Virus.

Der seit längerer Zeit schon bekannte Schädling Klez taucht mit neuen schädlichen Funktionen wieder im Netz aus. Der Wurm "knipst" aktuelle Virenscanner aus und verbreitet sich eigenständig über Outlook und Co.

W32.Klez.E@mm wird per eMail verschickt, der eine wechselnd benannte EXE Datei angehängt ist.

Wird die Datei ausgeführt, kopiert Klez eine Datei mit wechselnden Namen in das Windows-System Verzeichnis:

Wink[random characters].exe

Anschließend schreibt der Wurm einen Autostart-Eintrag in die Windows-Registry:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Der Wert des Eintrags variiert, kann aber an den ersten vier Buchstaben "Wink" erkannt werden.

Klez kopiert sich selbst in alle lokalen- und gemappten Laufwerke sowie in Netzlaufwerke, ähnlich wie es auch Nimda bereits getan hat.

Die Wurm-Kopie besitzt ebenfalls wechselnde Namen, hier allerdings mit einer doppelten Dateiendung wie zum Beispiel:

filename.txt.exe

Danach versucht der Wurm, Antivirensoftware zu deaktivieren, indem er einfach die laufenden Prozesse beendet.

Anschließend durchsucht Klez das Outlook-Adressbuch und verschickt sich mit einer Kopie des Wurms an alle gefundenen Adressen.

Hierzu wird bereits seit längerer Zeit von Microsoft ein Patch für Outlook angeboten, die eine Verbreitung auf die Weise unterbindet:

Den Patch findet Ihr hier

Sie sollten also bald die Webseiten Ihres bevorzugten Virenscanners aufsuchen und ein Update der Signaturfiles laden.

Grüsse
Schorsch

<ul><li>Männer tragen Feinstrumpfhosen</ul>