W32.Klez.E@mm - Weiterer E-Mail-Wurm nutzt Outlook-Schwäche

Abart des W32.Klez.A@mm deaktiviert Virenscanner und einige ältere Würmer

Ein neuer E-Mail-Wurm mit großer Verbreitungsgefahr treibt laut Symantec sein Unwesen: Der W32.Klez.E@mm verbreitet sich hauptsächlich über noch nicht aktualisierte Versionen von Microsoft Outlook und Outlook Express, da diese den Schädling bei Vorschau und Ansicht der E-Mail automatisch ausführen.

Artikel veröffentlicht am ,

Der aktive W32.Klez.E@mm versucht bekanntere Antiviren-Produkte zu deaktivieren, Gleiches versucht er mit einigen älteren E-Mail-Würmern wie W32.Nimda and CodeRed. Mittels der Windows-Registry-Einträge "Wink[random characters] %System%\Wink[random characters].exe" und "WQK %System%\Wqk.exe" im Registry-Key "HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run" sorgt der Wurm dafür, dass er (Dateiname besteht aus Wink + zufälligem Anhang + .exe-Endung) und ein mitgeschleppter Dateiinfektionsvirus (Wqk.exe = Win32.Elkern.B) bei jedem Systemstart aufgerufen werden.

Stellenmarkt
  1. Informatikerin / Informatiker oder Naturwissenschaftlerin / Naturwissenschaftler (w/m/d) zur ... (m/w/d)
    Karlsruher Institut für Technologie (KIT) Campus Nord, Eggenstein-Leopoldshafen
  2. IT Consultant (m/w/d)
    symmedia GmbH, Bielefeld
Detailsuche

Der Wurm kopiert sich zudem in Form einer ausführbaren Datei mit zufälligem Namen (setup, install, demo, snoopy, picacu, kitty, play oder rock) und einer doppelten Dateiendung wie Dateiname.txt.exe auf lokale Partitionen und Netzwerklaufwerke. Außerdem kopiert er sich noch selbst als ein .rar-Archiv, ebenfalls mit zufälligem Namen und doppelter Dateiendung (Dateiname.txt.rar).

Außerdem durchsucht der Wurm das von Outlook genutzte Windows-Adressbuch nach E-Mail-Adressen und versendet sich selbst an alle gefundenen Adressen. Die mit W32.Klez.E@mm infizierten E-Mails haben zufällige generierte Betreffzeilen und Textnachrichten. Eine genaue Auflistung der Möglichkeiten hat Bitdefender auf seiner Website gelistet.

Der W32.Klez.E@mm soll ein großes Verbreitungspotenzial haben, indem er ein Sicherheitsloch in Outlook ausnutzt und Antiviren-Software deaktiviert. Symantecs Antiviren-Software Norton AntiVirus soll den W32.Klez.A@mm mit den Virusdefinitionen ab Montag, dem 21. Januar 2002 erkennen und löschen können. Konkurrenzprodukte dürften ebenfalls bald auf den W32.Klez.E@mm reagieren können.

Golem Akademie
  1. Microsoft Dynamics 365 Guides mit HoloLens 2: virtueller Ein-Tages-Workshop
    16. Februar 2022, Virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
Weitere IT-Trainings

Es ist auch hier wieder dringend anzumerken, dass die Nutzung von Microsoft Outlook und Outlook Express ein hohes Sicherheitsrisiko birgt, wenn nicht der von Microsoft angebotene Patch für den Internet Explorer 5.01 und 5.5 installiert wurde. Der Service Pack 2 für den Internet Explorer 5.01 enthält diesen Patch bereits. Eine Verbreitung des Wurms wäre so auch über eine entsprechend präparierte Website möglich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Claudia Oehl 29. Sep 2002

Ich habe eine Warnung von einem serbver erhalten, daß ich eine W32.Klez.E infizierte...

hubsi 16. Sep 2002

Hallo Ihr! Wie ist denn der Stand der Dinge in Sachen Wiederherstellung zerschossener...

Heiko 11. Jul 2002

Hallo Leute, unser "Liebling" W32.Klez hat auch meinen Rechenknecht lahmgelegt. Gibt es...

Tim-E 29. Jun 2002

nene, ich hatte nicht das problem. gott sei dank hab ich sp2 drauf. Das war Atze mit der...

Phsy 28. Jun 2002

Hi Tim, ich denke nicht das deine Platte Kaputt ist, bei dir ist lediglich der...



Aktuell auf der Startseite von Golem.de
Spielebranche
Microsoft will Activision Blizzard übernehmen

Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

Spielebranche: Microsoft will Activision Blizzard übernehmen
Artikel
  1. Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
    Bundesservice Telekommunikation  
    Die dubiose Adresse in Berlin-Treptow

    Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
    Ein Bericht von Friedhelm Greis

  2. Cloud-Orchestrierung mit Kubernetes, Openshift und Ansible
     
    Cloud-Orchestrierung mit Kubernetes, Openshift und Ansible

    Kaum ein Unternehmen kommt künftig ohne Cloud aus. In drei Online-Kursen der Golem Akademie erfahren Teilnehmende die Grundlagen klassischer Cloud-Themen.
    Sponsored Post von Golem Akademie

  3. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 Digital inkl. 2. Dualsense bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
    •  /