Virus: W32/Klez

Der Virus W32/Klez wird als .EXE-Datei versendet, verbreitet sich unter Windows 32-bit Systemen und infiziert .EXE-Dateien. Um als residenter Virus im Arbeitsspeicher verbleiben zu können, infiziert 'W32/Klez' auch die KERNEL32.DLL.

Bei der Infektion einer .EXE-Datei erstellt der Virus einen neuen Abschnitt am Ende dieser Datei, in dem er seinen Code ablegt. Zum Auffinden solcher infizierter Dateien sucht man einfach nach dem String ‘666‘, welcher in die Kopfzeile des Codes geschrieben wird. Der Virus infiziert nicht alle .EXE-Dateien bzw. Programme. Folgende Dateien werden nicht verändert:

ALERTSVC.EXE, AVPM.EXE, AMON.EXE, AVP32.EXE, N32SCANW.EXE, NAVAPSVC.EXE, NOD32.EXE, NAVAPW32.EXE, NAVWNT.EXE, NAVLU32.EXE, NAVRUNR.EXE, NPSSVC.EXE, NSCHEDNT.EXE, SCAN.EXE, SMSS.EXE, _AVP32.EXE, _AVPM.EXE, NSPLUGIN.EXE,

Zum Infizieren der KERNEL32.DLL speichert der Virus diese Datei unter dem Namen KLEZED.TT6 ab und verändert diese anschließend. Beim nächsten Systemstart wird die KERNEL32.DLL mit Hilfe eines entsprechenden Eintrages in der WININIT.INI durch die Datei KLEZED.TT6 ersetzt. Der Virus verändert die Adreßbereiche der externen Windows-Befehle, so daß diese in den Programmcode des Virus eingeschlossen werden. Der Virus ändert auf diese Weise sechzehn KERNEL32 Funktionen: Datei öffnen, kopieren, löschen, Ändern der Dateiattribute und viele mehr...

Der Virus hat zusätzlich noch eine gefährliche Schadensroutine in seinem Code: Am 25. Dezember zerstört der W32/Klez den CMOS-Speicher, überschreibt alle Dateien auf allen vom BIOS verwalteten Festplatten und zerstört den Flash BIOS mit der selben Routine wie der CIH-Virus.

 

  weitere Virenbeschreibungen
  Virenkunde