Klez viruset!

[AntifA]

Definer irritasjon: Følelsen man har når man nettopp har mottat sin fjerde Klez mail!

 

Men hvordan funker dette viruset? Må man åpne vedlegget for at viruset skal infisere pc'en eller? Har aldri åpnet et vedlegg fra noen av disse mailene, har bare slettet de med en gang.

 

Lasta ned et antivirus program (Mcafee) og det blokkerer jo virusmail. Fikk likevel en ubehagelig overraskelse her en dag da det var en mail det IKKE blokkerte.. Åpnet jo ikke vedlegget, bare slettet den med en gang. En kompis av meg mener likevel at jeg har fått viruset.. Kan det stemme? Har jo alle updates osv..

[jallajalla]

Last ned en fix fra symantec så fjerner den Klez fra maskinen din hvis den er infisert.

http://securityresponse.symantec.com/avcen...tools.list.html

[NeoGeo]

Jeg har fått 4-5 mailer infisert av klez viruset til dagen de siste ukene. Har ikke merka så stor spredning av noe virus før. "I love you" er jo ingenting :smile:

 

NeoG

[Egil.B]

Helt enig. Det florerer jo enormt. Best å laste ned den symantec-patchen der ja... :razz:

[Jeez]

Har fått et par slike eg og, jaggu har eg ikkje måtte ha formatert like mange ganger. Eg blei lei, installerte Outlook `97 og deaktiverte forhandsvirus. Alle mailer som så mye som ser litt mistenkelig ut går rett i kassa..

 

Jeez

[BBC]

Quote:

...deaktiverte forhandsvirus...

 

Hmmmm.....

[PowerOfNow]

glad jeg har egen InterScan VirusWall på serveren min da:) blir vel 2-3 Klez.h virus om dagen. Dem blir stoppa i viruswallen og jeg får en mail om at den og den avsender har sendt mail med virus!

[Viva]

Bruker du VB skript på din PC ? Ikke det, nei. Ingen grunn til å la andre gjøre det heller. Spesielt ikke ormer av typen LoveLetter og tilsvarende. Assosiasjonen til Windows-skripter bør fjernes siden de færreste bruker det (Windows Host Scripting):

 

Win2000:

1) Åpne en *mappe*, f.eks. Min datamaskin

2) Velg Verktøy på menylinja, Mappealternativer

3) Velg fanen for Filtyper

4) Bla deg ned til du ser filtype VBS. Slett den.

 

I Win98 må du veien via kontrollpanelet:

1) Åpne Legg til / Fjern programmer i kontrollpanelet.

2) Velg fanen Windows Setup

3) Åpne Tilbehør (Accessories) på lista

4) Bla nedover til Windows skripting vert (Windows Scripting Host)

5) Fjern haken som evn. måtte være der, og velg OK (eller Bruk)

[Eskil87]

Hehe, for 2 uker siden eller noe fikk jeg 26(!) Mailer med Klez!

[errgo]

Det som er drit med Klez viruset, er at du kan bli beskyldt for å spre det selv om du ikke har det. Er det en som har email adressen din liggende en eller annen plass på harddisken, så kan viruset få det til å se ut som det kommer fra den adressa.

Date: 5/10/2002, Time: 2:50:04, ************** on **************

The email attachment can.zl9 is infected with the W32.Klez.gen@mm virus.

The file was quarantined.

 

Neste dag fikk jeg denne hyggelige mailen av en jeg overhodet ikke kjenner:

Subject: Re: Pan European Settings

lose this e-mail address.......ASSHOLE!!!!!!!!

your virus was detected.

 

Måtte forklare for han at jeg ikke hadde sendt noe virus, og han hadde forståelse for det og unnskyldte seg.

 

Disse artiklene viser dette :

http://www.wired.com/news/technology/0,1282,52174,00.html

http://www.wired.com/news/technology/0,1282,52055,00.html

Er visst mange flere som har opplevd det samme. Ganske flaut for folk som har god peiling og sikkerheten i orden å bli beskyldt for å spre virus :sad:

 

 

[ Denne Melding var redigert av: Roger23 på 2002-05-13 00:59 ]

[Black Star]

Helt riktig.. fikk viruset tilsendt fra en kamerat, trodde jeg, men da jeg gikk inn på detaljer og så på "return-path" så jeg hvem viruset virkelig kom fra. Hun jobber for tiden med å prøve å fjerne det, men virusprogrammet hennes vil ikke oppdateres, og etter en uninstall fikk hun ikke installert den igjen. Men men...

 

Ivertfall... jeg har hørt at alt Klez-viruset lager, er å belaste internett eller har noen av dere andre erfaringer, at den ødelegger noe på maskinen din?

 

Har forøvrig Norton helt up to date, og den har til nå satt alle attachments jeg har fått med Klez-viruset i karantine.

[boza]

Har sliti med endel Klez_H virus for tiden også, og de patchene fra antivirus.com tok heller ikke knekken på det, så nå har det blitt endel formateringer

[JoKr]

Er jeg glad at jeg KUN har webmail basert epost både på arbeid, skole og privat eller?

[John_^]

Funker også greit med Eudora. Vedlegg, scripts og annen kode blir ikke aktivert/kjørt før man trykker på selve vedlegget.

Siden jeg ikke gjør dette føler jeg ikke at det er noen fare men disse virusmailene.

 

I tillegg har jo Norton stoppet de siste virusfilene jeg har fått.

[LionHead]

Det klez viruset gjør er og først infisiere alle kjørbare filer på maskinen, hvertfall den varianten jeg har vært borti. Disse filene skal settes til 0 bytes hver 13. dag i mnd. Allikevel opplevde jeg at dette var gjort kontinuerlig på enkelte filer. Følgelig var det nyttesløst og installer/avinstallere programmer som kunne hjelpe meg.

 

Løsning: Last ned F-prot sitt antivirusprogram for DOS, det skal nemlig ikke installeres. Og KlezFix'en fra norton, som ble pratet om senere i tråden. Når det gjelder F-Prot så kommer denne zipet i tre filer(program, virusUpdates og macroUpdate), så jeg måtte unzippe på en annen maskine, fordi hver gang jeg installerte WinZip o.l. fjernet Klez viruset exe filen så jeg ikke fikk kjørt programmet.

 

M.a.o. Et vellykket virus

[tosken]

Et godt råd er å bruke dos mot de fleste virus, de ferreste virus som lages i dag, blir aktivert i dos eller er i stand til å gjøre noen skade! f-prot for dos er min favoritt! I dos vil ikke viruset være i stand til å formere seg eller ødelegge filer! Enkelte versjoner av Klez viruset har hatt et annet virus i seg som har spredd seg videre på maskinen og som visstnok skal inneholde en trojan.

 

Klez leggger seg inn på maskinen uten at du trenger åpne noe attachment, den legger seg inn av seg sjøl! Mottaker og avsender adresse på meilen lages på samme måte, random adresser den sporer opp på den infiserte pesen! derfor er det ikke greit å vite hvem du fikk viruset fra! En annen fænsi funksjon med virus er at den forsøker overflowe bufferne dine slik at anti-virus program som går i bagrunnen skal bli slått ut før de rekker si fra!

 

Så gå ut i dos eller kjør 8-bits eudora som meg, ingen ting som phunker på det! :wink:

[Viva]

Har fått ca 15 slike "Klez" virus nå... åpnet det siste i Notisblokk, her er litt av koden:

 

FreeLibrary >GetProcAddress ÂLoadLibraryA CloseHandle –Sleep žTerminateProcess ReadProcessMemory ïOpenProcess ÙModule32First L CreateToolhelp32Snapshot $GetModuleFileNameA þProcess32Next üProcess32First ÖMapViewOfFile 5 CreateFileMappingA GetFileSize 4 CreateFileA °UnmapViewOfFile GetLocalTime GetLastError ÌLocalFree ÈLocalAlloc ø GetCurrentProcessId ÒWideCharToMultiByte äMultiByteToWideChar Î GetComputerNameA ( CopyFileA ¹IsDBCSLeadByte ßWriteFile ReadFile cGetTempFileNameA eGetTempPathA W DeleteFileA hSetFileAttributesA FindClose FindNextFileA ” FindFirstFileA aSetEndOfFile jSetFilePointer GetFileTime lSetFileTime mGetTickCount D CreateProcessA YGetSystemDirectoryA ÷ GetCurrentProcess ›SystemTimeToFileTime ]GetSystemTime uGetVersionExA tGetVersion ÎWaitForSingleObject Ê GetCommandLineA € ExpandEnvironmentStringsA GetDriveTypeA J CreateThread KERNEL32.dll [RegCloseKey fRegEnumKeyA qRegOpenKeyA dRegDeleteValueA jRegEnumValueA 4 CloseServiceHandle L CreateServiceA EOpenSCManagerA ³StartServiceCtrlDispatcherA ®SetServiceStatus GOpenServiceA ŽRegisterServiceCtrlHandlerA FreeSid ˜ EqualSid AllocateAndInitializeSid Ð GetTokenInformation BOpenProcessToken RegConnectRegistryA ²StartServiceA {RegQueryValueExA †RegSetValueExA ^RegCreateKeyA AdjustTokenPrivileges õ LookupPrivilegeValueA ADVAPI32.dll WS2_32.dll WNetCloseEnum WNetEnumResourceA @ WNetOpenEnumA MPR.dll &GetModuleHandleA PGetStartupInfoA } ExitProcess ¿ GetCPInfo ¹ GetACP 1GetOEMCP ¿LCMapStringA ÀLCMapStringW ŸHeapFree ™HeapAlloc ­UnhandledExceptionFilter ² FreeEnvironmentStringsA ³ FreeEnvironmentStringsW GetEnvironmentStrings GetEnvironmentStringsW mSetHandleCount RGetStdHandle GetFileType HeapDestroy ›HeapCreate ¿VirtualFree /RtlUnwind SGetStringTypeA VGetStringTypeW »VirtualAlloc ¢HeapReAlloc |SetStdHandle ª FlushFileBuffers

 

 

Dette heter " U.pif " og vil bli snarvei til et MS-DOS program..

 

[ Denne Melding var redigert av: Viva på 2002-05-13 10:55 ]

[jokke20]

Hørte jeg noen si Mac? hehe :wink:

[j0 Ø.]

Har hat det møkka viruset på marskina...

når jeg fikk fiksa det hadde jeg mistet hele visual studio .net

[Viva]

U.PIF ikke Klez, hehe.. en MTX virus.

 

The MTX worm has three components - worm, virus and backdoor. It spreads under Win32 systems - the virus component infects Win32 executable files, attempts to send e-mail messages with infected attachments and installs the backdoor component to download and spawn "plugins" on an affected system.

 

The virus has an unusual structure. It consists of three different components that are run as standalone programs (Virus, email Worm and Backdoor). The virus is the main component, it keeps the worm and the backdoor programs in its code in compressed form.

 

While infecting the system, it extracts and spawns them:

 

The MTX worm-virus structure looks like this:

 

 

------------------

I The virus I --> installs Worm and Backdoor to the system,

I installation I then finds and infects Win32 executable files

I and infection I

I routines I

------------------

I Worm code I --> is extracted to file and run as stand-alone program

I (compressed) I

------------------

I Backdoor code I --> is extracted to file and run as stand-alone program

I (compressed) I

------------------

 

----------

 

Bare putt e-post adressene deres her så skal jeg maile det over har det i sammlingen på diskett!