Viren Testbericht

....oder wie man zwei Tage in Panik verfallen kann.

Wer kein Windows als Betriebssystem benutzt und nicht die gängige „Kleinweich“-Software nutzt, bleibt meist verschont und für diejenigen ist es wohl uninteressant (ich sehe das müde Lächeln eines jeden Linux-Users vor meinem geistigen Auge ;-)), aber manchmal kann man sich die Rechner eben nicht aussuchen, mit denen man arbeitet...

Eigentlich fing alles ganz harmlos an: gestern bei der Arbeit startete ich den Rechner und irgendwann auch den Explorer, um die Emails abzuholen. Ratz-fatz hatte ich etliche Emails, die eindeutig als „Retouren“ zu erkennen war......obwohl ich nichts gesendet hatte. Das ließ mich stutzig werden.......Schlimmer noch, war die siebte oder achte Mail, die von einer Firewall gesendet wurde, mit dem Vermerk, daß meine versendete Email einen Virus enthalten sollte.....aber ich hatte doch nichts gesendet! Zumindest nicht wissentlich......

Exakt zwei Minuten später klingelte auch schon das Telefon und ein Bekannter war dran: „Du.....Dein Rechner bei der Arbeit hat nen Virus und verschickt verseuchte Emails.“ Super......das fehlte mir gerade noch. Ich dachte immer, daß passiert nicht....zumal im Hintergrund immer der Virenscanner lief. Aber nun hatte ich ihn eben und alles fluchen nütze nichts: das Teil muß wieder runter vom Rechner!

Jetzt kam das „wie“ und mein Bekannter hatte auch gleich einen entsprechenden Link für mich: ein Tool, daß auf der Homepage von Symantec downgeloadet werden kann (link an späterer Stelle). Spitze – dachte ich mir...dann ist das Thema ja gleich hoffentlich erledigt. Das dachte ich aber auch nur.....der Virus hat mir meinen Browser immer fleißig wieder geschlossen, bevor ich etwas machen konnte...Also beschloß ich gestern, mir das Tool zu Hause aus dem Internet zu ziehen und am nächsten Tag – also heute- den Rechner wieder zu „entgiften“.

Auf der Fahrt nach Hause klingelte noch etliche Male mein Handy, alles Warnungen etlicher Bekannte, die eine Email mit Virus bekommen haben....
Da ich mittlerweile bemerkt hatte, daß der Virus nicht nur das Adreßbuch von Outlook benutzt hat, konnte ich natürlich nicht mehr abschätzen, wo denn nun überall Emails hingeschickt wurden. Somit habe ich meinen Rechner zu Hause gleich getestet und Outlook gar nicht erst geöffnet, bevor ich nicht irgendeinen sicheren Schutz hatte (in weiser Voraussicht, denn "ich" hatte "mir selber" gleich 5 solcher Emails geschickt). Unterdessen habe ich nach weiteren Informationen über diesen Virus gesucht, um den Schaden einigermaßen einschätzen zu können und bin auch fündig geworden. Die Info möchte ich Euch nicht vorenthalten und ist ganz am Ende des Berichts komplett zu lesen; entnommen der Page www.free-av.de.

WAS ABER TUN, WENN MAN DEN VIRUS JETZT HAT

Und das ist schließlich das Wichtigste am ganzen Bericht.
Auf der Homepage von Symantec ist ein Tool namens „FixKlez“ downzuloaden (url: http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.removal.tool.html)- Eine genaue Verfahrensweise ist dort beschrieben, sogar mit Demo des Vorgangs, allerdings auf Englisch und das ist nicht immer jedermanns Sache.

Also in Kürze:
- Obiges Tool downloaden und auf dem Desktop des Arbeitsplatzes abspeichern
- Danach den Rechner herunterfahren und im abgesicherten Modus neu starten (bei Win ME und XP muß vorher der Restore-Modus ausgeschaltet werden)
- Ist der Rechner im abgesicherten Modus hochgefahren, wird das Tool „FixKlez“ mit einen Doppelklick gestartet
- Das Programm startet nun und durchsucht alle Dateien auf der Festplatte (Dauer abhängig von der Größe der Platte und der Menge der Daten)
- Nach dem Durchlauf des Tools bekommt man (auf Englisch) angezeigt, ob und wie viele Dateien dieses Tool gefunden und gelöscht, bzw. repariert hat
- Danach den Rechner runterfahren und ganz normal wieder starten
- Jetzt ist der Virus entfernt.


Ich habe bei meinem Rechner hinterher noch sicherheitshalber einen aktuellen Virenscanner laufen lassen, aber der hat nichts mehr gefunden. Vorher hab ich aber geschaut, ob der Virus überhaupt von dem Programm erkannt wird, sonst hätte es ja eh nichts genutzt.

Allen, die zu Hause auf Ihrem Privat-PC den kostenlosen Virenscanner „AntiVir“ von H+B EDV laufen haben, kann ich nur dringend raten, die Internet-Update Funktion zu nutzen, denn eine ältere Version erkennt den Virus nicht !

Abschließend hoffe ich, daß keiner von Euch ein Problem mit diesem Virus hat und mein Bericht eigentlich überflüssig ist. Sollte das nicht der Fall sein, so hoffe ich, daß mein Bericht Euch helfen konnte und wenn Ihr Fragen oder was-auch-immer habt, so hinterlaßt mir einfach einen Kommentar oder mailt mir....

Schönen Abend noch....Toeff

Ach ja....vielleicht noch hilfreich: da der Virus bereits aktiv wird, wenn die betroffene Email in der Vorschau angezeigt wird: diese Vorschau läßt sich deaktivieren. Ist zwar nicht bei allen IE Versionen gleich, aber meistens findet man diese Option unter „Ansicht“ -> „Layout“ und dort einfach das Häkchen bei „Vorschau“ entfernen.


(Entnommen von der Seite www.free-av.de)

Worm/Klez.E
alias W32/Klez.G, W32/Klez.H@mm
Die neue Variante des Worm/Klez kopiert sich als WINKxxx.EXE (’xxx’ = zufällig gewählte Buchstabenkombination) in das Windows Systemverzeichnis und legt folgenden Key in der Registry an:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Winkxxx=C:\Windows\System\Winkxxx.exe
Worm/Klez.E kopiert sich wahllos in verschiedene Verzeichnisse sowie Unterverzeichnisse auf allen lokalen Laufwerken, sowie alle gesharte Netzlaufwerken mit Schreib-/Lesezugriff. Diese Dateien haben als Dateiextensions .EXE, .PIF, .COM, .SCR, .RAR, .SCR. In einigen Fällen erzeugt der Wurm auch Doppelextension z.B. “Dateiname.txt.exe“
Der Worm/Klez.E droppt einen neuen Virus in das Programme Verzeichnis (meist C:\Programme\) und führt diesen aus. Der Dateiname wird mit einer zufällig gewählten Buchstabenkombination erstellt. Bei dem Virus handelt es sich um einen Fileinfektor und wird mit der aktuellen VDF als W32/Elkern.C erkannt.
Klez.E versendet sich als Email mit Hilfe seiner eigenen SMTP Engine. Die Empfängeradressen erhält der Wurm aus Windows Adressbuch oder aus Dateien mit der Extension .HTM, .HTML, .DOC, .XLS, .BAT, .TXT, .SCR, .CPP, .C, .BAK. Die Betreffzeile einer solchen Email kann folgendermaßen aussehen:
powful
WinXP
IE 6.0
new
funny
nice
humour
excite
Symantec
Mcafee
F-Secure
Kaspersky
Sophos
Trendmicro
W32.Elkern
W32.Klez.E
Die Betreffzeile kann auch Variieren. So kann der Betreff der Email auch wie folgt aussehen:
a new new game
oder
nice path
oder
a powerful new website
oder
a IE 6.0

Worm/Klez.G erstellt eine HTML-Mail, die eine base64 enkodierte Kopie von sich selbst enthält. Beim Email-Empfang führt sich Klez.E aus, auch wenn dieser nicht aktiv geöffnet wird, sondern nur in der Vorschau angezeigt wird. Dies Betrifft I.E.-basierten E-Mail-Clients (z.B. Microsoft Outlook).