image

Nieuw W32.Klez.H probeert antivirussoftware uit te schakelen

woensdag 17 april 2002, 19:39 door Redactie, 11 reacties

Een internetwormvirus met de aanduiding
W32.Klez.H. dreigt grote schade aan te richten op vele computersystemen.
Het nieuwe virus komt binnen via een e-mail met sterk wisselende
eigenschappen en is daardoor ook moeilijk te herkennen. Afzender kan zowel
een bekende als onbekende van de ontvanger zijn. Het afzendadres wordt
wisselend gekozen uit gegevens die het op besmette systemen aantreft.
W32.Klez.H maakt daarbij gebruik van fouten in Microsoft software en
activeert zichzelf als bepaalde patches niet zijn geinstalleerd. Het virus
met een score van 53 punten op de VirusAlert-schaal, wordt als uiterst
gevaarlijk aangemerkt, daar het grote schade aan systemen kan veroorzaken.
Het verspreidt zich momenteel zeer snel. (Virusalert.nl)

Reacties (11)
17-04-2002, 22:23 door Anoniem
Zeer snel is wel wat overdreven. Een aantal virus scanners vonden hem al (McAfee, Sophos) de verspreiding is er zeker wel, maar niet snel.

Het onderwerp wisselt, de bijlagen gebruiken de extensies bat, exe, pif en scr. Zie voor een goede beschrijving:
http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.h@mm.html
17-04-2002, 23:26 door Anoniem
Statistieken van Messagelabs.com liegen er niet om ...
Mede door de wisselende hoedanigheid kan het een virus worden met een lange duur

Dr. Bug
18-04-2002, 06:13 door pierpanda
Het zou me niet verbazen als blijkt dat deze worm de potentie heeft om uit te groeien tot viruslegendes als, W32.Magistr en Nimda. In Nederland is het beestje al opgedoken en heeft voor computer crashes gezorgd.

Pierpanda.
20-04-2002, 09:17 door Anoniem
Originally posted by Dr. Bug
Statistieken van Messagelabs.com liegen er niet om ...
Mede door de wisselende hoedanigheid kan het een virus worden met een lange duur

Dr. Bug

Het probleem met dit virus is dat het zichzelf herhaaldelijk verstuurt naar dezelfde ontvanger. De aantallen worden daardoor behoorlijk opgeblazen. Je zou moeten kijken naar de afzenders, maar dat kan hier niet want die wordt gefaked door het virus. Het afzender domein is daardoor niet betrouwbaar. Wat overblijft is afzender IP, die moet via whois constructies worden opgezocht, pas dan ontstaat een redelijk betrouwbaar beeld van aantallen besmette computers.

http://www.messagelabs.com/viruseye/report.asp?id=100
24-04-2002, 16:49 door Anoniem
Originally posted by Unregistered


Het probleem met dit virus is dat het zichzelf herhaaldelijk verstuurt naar dezelfde ontvanger. De aantallen worden daardoor behoorlijk opgeblazen. Je zou moeten kijken naar de afzenders, maar dat kan hier niet want die wordt gefaked door het virus. Het afzender domein is daardoor niet betrouwbaar. Wat overblijft is afzender IP, die moet via whois constructies worden opgezocht, pas dan ontstaat een redelijk betrouwbaar beeld van aantallen besmette computers.

http://www.messagelabs.com/viruseye/report.asp?id=100

Het From: veld wordt gefaked maar niet het 'envelope from' adres. Dus kijk naar de 'ruwe tekst' van het bericht en je weet waar het vandaan komt. Ik kreeg het gisteren twee keer (met verschillende bericht-tekst en From: veld) van een hotel in Londen waar ik ooit eens per e-mail een reservering had gepleegd en 'dus' in het e-mail adresboek stond.
24-04-2002, 17:01 door Anoniem
Het virus wordt ook verzonden middels een attachment die de extensie van .HTML.

Zodra deze .HTML file bekeken wordt wordt er op de achtergrond "iets" uitgevoerd.

Vervolgens wordt in de registry onder "run" een nieuwe waarde aangemaakt waarin de volgens mij gedownloade file aangeroepen wordt.

Herkenbaar dat het programma opgestart is, is dat bij verwijdering van deze sleutel na het drukken op de "F5" key gewoon weer terug komt.

Verwijderd (win98) door op te starten in dos modus en het bestand dat zich in de windowssystem directory bevindt eerst middels attrib -r -s -h verwijderbaar te maken, en vervolgens met Del [filename] te verwijderen.

Succes
J. Ramlal
26-04-2002, 00:52 door Anoniem
Het virus is hier nu VIJF keer binnengekomen vanaf de account [email]alphasys@warwick.net[/email] met IP nummer 64.33.148.233, en [email]MAILER-DAEMON@mail15b.boca[/email]15-ve met HETZELFDE IP-nummer.

Kwader trouw is zeer aannemelijk, aangezien er nergens op gereageerd wordt. Sterker nog, de laatste mails worden verzonden met de volgende bogus 'anti-virus patch':

---------------------------------------
Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me.
---------------------------------------

De 'mail to me' is een link die het virus activeert! U bent dus gewaarschuwd hier niet op in te gaan.

Ik vond geen aanvullende info over het betreffende IP-nummer, maar als een andere lezer hier raad mee weet, zou ik zeggen leef je uit! Deze gasten behoren m.i. tot het ergste tuig op internet!

Be careful out there!
30-04-2002, 00:09 door Anoniem
Originally posted by Unregistered
Het virus is hier nu VIJF keer binnengekomen vanaf de account [email]alphasys@warwick.net[/email] met IP nummer 64.33.148.233, en [email]MAILER-DAEMON@mail15b.boca[/email]15-ve met HETZELFDE IP-nummer.

Kwader trouw is zeer aannemelijk, aangezien er nergens op gereageerd wordt. Sterker nog, de laatste mails worden verzonden met de volgende bogus 'anti-virus patch':


Het lijstje is nu uitgebreid met:
[email]danaok@wwt.net[/email]
[email]rvrboat@mc.net[/email]
En ook [email]alphasys@warwick.net[/email] blijft volharden in de cybercrime, met wisselende teksten in het Frans en Engels en een zwartgallig gevoel voor 'humor'...

Alle virus-mails komen van hetzelfde IP-adres 64.33.148.233

Let's Kill the bastards!
30-04-2002, 11:32 door Anoniem
Originally posted by Unregistered


Het lijstje is nu uitgebreid met:
[email]email[/email]
[email]email[/email]
En ook [email]email[/email] blijft volharden in de cybercrime, met wisselende teksten in het Frans en Engels en een zwartgallig gevoel voor 'humor'...

Alle virus-mails komen van hetzelfde IP-adres blabla
Let's Kill the bastards!

Rustig aan. Je maakt hier e-mail adressen publiek van personen die wellicht niet besmet zijn. Het afzenderadres is mogelijk gefaked. Het virus maakt gebruik van een hele range aan mogelijke teksten, waaronder een tekst waarin het zichzelf aanprijst als oplossing voor een eerdere variant van Klez.

Het is het virus dat de berichten verstuurt, niet een mens die jou aan wil vallen. De enigen die je tuig mag noemen zijn de virusschrijver en moedwillige virusverspreiders.
30-04-2002, 12:11 door Anoniem
Originally posted by Unregistered


Het From: veld wordt gefaked maar niet het 'envelope from' adres. Dus kijk naar de 'ruwe tekst' van het bericht en je weet waar het vandaan komt.

Nee, dat is niet altijd zo. Soms wordt het juiste envelope address gebruikt, maar de From: header geeft een andere en andersom.
30-04-2002, 15:14 door Anoniem
Originally posted by Unregistered
Alle virus-mails komen van hetzelfde IP-adres 64.33.148.233

Let's Kill the bastards!

Blijkt een West-Amerikaans systeem:

64.33.148.233 = meno-pub-dhcp-ws-40.dsl.airstreamcomm.net

Dus als je hier nou eens gaat klagen?:

Airstream Communications, LLC
7633 Ganser Way, Suite 202
Madison, WI 53719-2092

tel 001-608-829-2667

[email]info@airstreamcomm.net[/email]
[email]abuse@airstreamcomm.net[/email]

Dan killen hun de Bastard wel voor je ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.