Momentan geht mal wieder ein Virus-Wurm um. Ich habe den Übeltäter als "Klez" identifiziert, weiterhin ist der "Badtrans" noch immer nicht ausgerottet. Folgende Eigenschaften hat der Klez (viele Varianten):
Dieser Wurm versendet sich via eMail. Er nutzt für den eMail-Versand
das SMTP-Protokoll. Die Betreffzeile wird zufällig aus folgender Liste
gewählt:
Hi, | welcome to my hometown |
Hello, | the Garden of Eden |
Re: | introduction on ADSL |
Fw: | meeting notice |
how are you | questionnaire |
let's be friends | congratulations |
darling | sos! |
don't drink too | japanese girl VS playboy |
much | look, my beautiful girlfriend |
your password | eager to see you |
honey | spice girls' vocal concert |
some questions | Japanese lass' sexy |
Notwithstanding this limitation | pictures |
please try again | ... weitere Texte ... |
Der eMail-Body ist leer oder enthält einen zufälligen Text. Der Start des Schädlings erfolgt automatisch beim Lesen der infizierten eMail (also nicht wie bei Badtrans erst dann, wenn der Anhang aufgemacht wird !). Dazu nutzt der Wurm eine Lücke im Internet Explorers Sicherheitssystem, die im März 2001 entdeckt wurde. Klez.e infiziert ebenfalls RAR-Dateien, wobei er seine Kopien in sie mit zufälligen Namen reinschreibt. Am 6. jedes ungeraden Monats zerstört Klez an allen Laufwerken des infizierten Computers alle Dateien (zumidest fast alle) und füllt sie mit beliebigem Inhalt. Solche Dateien können nicht restauriert, sondern nur noch durch Sicherungskopien ersetzt werden (wenn man welche hat...). Darüber hinaus versucht der Schädling, das Funktionieren der bekannten Antiviren-Programme zu beenden. Er schliesst dazu zwangsläufig laufende Prozesse des Computers und offene Dateien (aktuelle Daten gehen verloren). Der Wurm schreibt ggf. einen beliebigen Absender, so auch oberpfalzjudo@gmx.de in die Mail. Technisch gesehen ist die e-mail-Adresse oberpfalzjudo@gmx.de nur ein Postfach, als Absender kann oberpfalzjudo@gmx.de nie vorkommen. Ich habe von verschiedenen Seiten diesen Wurm bekommen, beispielsweise von
michaela@hollweck.com
schiedt@gmx.de
Onkeltom@bossmail.de
hiwo@12move.de
ihirsch@jkc-kuemmersbruck.de
xsjule@uboot.com
...
bekommen (kein Vorwurf, nur Hinweis). Die Frage ist nun, was ist zu tun? Ich empfehle die Seite http://www.sophos.de/virusinfo/analyses/w32kleze.html zu lesen und sofort was zu unternehmen. Kostenlose Tools zur Beseitigung finden sich im Internet unter:
http://www.db.f-prot-antivirus.de/news/k/klez.htm
http://www.golem.de/0204/19366.html
http://www.bsi.de/av/vb/klez_e.htm
Natürlich habe ich diese Tools nicht ausprobiert, sollten aber gehen. Von Mikrosoft liegt ein Patch vor, der diesen Wurmbefall verhindert (Naja, wie immer wenn das Kind in den Brunnen gefallen ist, kommt von MS ein Hinweis man soll einen Deckel auf den Brunnen legen...) Ich arbeite übrigens nur mit Linux (nicht mit Windows) und dieser Wurm (und viele weitere Vieren/Würmer) kann von mir nicht kommen - und mir auch nicht schaden. VON ALLEN WICHTIGEN DATEN IMMER SICHERUNGSKOPIEN MACHEN !!!
Viel Erfolg bei der Schädlingsbekämpfung!
Gruß Berthold