Karakteristik Umum :
Tipe : Worm
Alias : W32.Klez.G
Mekanisme Penyebaran : Email, jaringan, infeksi file
Karakteristik Email
Judul : bervariasi
Isi : bervariasi
Attachment : bervariasi
Tingkat Kerusakan : rendah
Isi/muatan : programs penghancur antivirus
Tanggal terdeteksi : 17 Apr 2002
Diumumkan ke publik : 17 Apr 2002 14:58 (CET)
Update terakhir : 10 May 2002 10:38 (CET)
Deskripsi Lengkap dari Virus ini :
Tipe
Deteksi dan Pembersihan - informasi khusus
Kami merekomendasikan anda untuk mendownload tool khusus untuk virus
ini. Tool ini akan membersihkan Klez.E, Klez.H (yang sebelumnya dikenal
dengan nama Klez.G), dan Elkern.C pada sistem lokal yang terinfeksi.
Jika Klez telah melumpuhkan NVC5, tool ini akan memperbaikinya lagi.
Download tool tersebut di website norman http://www.norman.no/
dan bacalah petunjuk penggunaannya.
Tanggapan Umum
Klez.H adalah worm email baru dalam keluarga Klez. Dalam beberapa hal,
Klez.H hampir sama dengan varian Klez sebelumnya, tetapi beberapa
efeknya telah dihilangkan.
Klez.H menyebar melalui email dengan menggunakan alamat email yang diambil dari beberapa sumber dari komputer yang terinfeksi - halaman web, address book windows, dan ICQ contact lists. Perhatikan pula bahwa ia akan memilih alamat pengirim secara acak, sehingga mail ini seolah-olah berasal dari seorang pengirim tertentu padahal ia tidak pernah engirimkannya. Email tersebut dirancang sedemikian rupa sehingga virus ini dapat berjalan meskipun user tidak perlu membuka attachment apapun.
Virus ini mengkopi-kan dirinya ke mesin lokal dan pada jaringan dalam bentuk executable file (.exe) dan dalam ekstensi RAR (.rar).
Mekanisme Penyebaran
Ketika worm ini masuk ia akan mengkopi dirinya ke system directory
menggunakan nama "Wink*.exe" dimana tanda where tanda *.menunjukkan
kombinasi yang acak. Hal ini akan menambah sebuah entry di dalam
Registry, sehingga akan dapat di-loaded pada saat startup.
Pada Win9x/ME:
HLKM\Software\Microsoft\Windows\CurrentVersion\Run\Wink* =
%SystemDir%\Wink*.exe
Pada Win NT/2000/XP:
HKLM\System\CurrentControlset\Services\Wink* = %SystemDir%\Wink*.exe
Tahap-tahap kerja Klez.H :
Tahap Pertama:
Hal pertama yang dilakukan virus ini ketika mereka masuk ke sistem
adalah mencari apakah sistem berisi nama tertentu (dalam suatu daftar
yang disebut WL01) dalam 512 kilobit pertama dari proses! Mereka
memiliki ruang memori sendiri. Jika nama ini ditemukan, ia akan mencoba
untuk menghentikan proses, dan program file yang ada bersamanya akan
dihapus.
Tetapi harus diingat ingat bahwa daftar nama (WL01) yang berisi nama
virus tersebut tidak selalu sama dengan nama virus itu sendiri, karena
beberapa virus malah tidak pernah memakai nama mereka sendiri dalam
registri. Namun yang pasti, hal ini akan menghilangkan program antivirus
atau fixup tool, dan program-program lain yang mengandung kata-kata
tersebut.
Selanjutnya, ia akan memeriksa jika nama-nama yang terdapat pada proses
yang sedang berjalan mengandung kata tertentu dari daftar kata yang lain
(Ref WL02). Jika ada, program ini akan dihilangkan/dihapus seperti sebelumnya.
Kunci Registri (registry keys)
HLKM\Software\Microsoft\Windows\CurrentVersion\Run dan
HLKM\Software\Microsoft\Windows\CurrentVersion\RunServices akan
diperiksa apakah ada program antivirus dalam daftar yang disebut WL02
list. Jika ada, mereka akan dihapus dari registry.
Pada Win9x/ME langkah ini akan membangkitkan Run key Klez.H sendiri
dalam Registry secara kountinu.
Tahap Kedua:
Ini adalah tahap pengiriman email. Ia akan memeriksa apakah komputer
yang terinfeksi tersebut terhubung ke internet atau tidak. Jika
terhubung, ia akan men-scan Address Book Windows, databases ICQ (jika
ada) dan file .txt, .htm and .html files pada drive lokal. Ia akan berusaha menggunakan mail server lokal untuk mengirim mail, atau jika tidak berhasil, szecara cerdik sekali ia akan mencoba untuk menebak mail server yang dapat digunakan dengan menambahkan 'smtp.' ke nama domain yang ditemukannya dalam mail address.
Jika mail server ini bekerja, worm ini akan menggunakan alamat email yang digunakannya sebagai basis untuk alamat mail server pada daftar internal. Jika mail server tebakan ini juga tidak berhasil, ia akan mencari pada daftar internalnya dan berusaha untuk menggunakan secara acak sampai dengan 6 server yang disimpannya pada koneksi sebelumnya. Jika tidak ada satupun yang berhasil, ia masih memiliki daftar (hard-coded list - WL22) dari mail server yang akan digunakannya. (WL22) .. Ck.ck.ck.
Mail-mail tersebut dibuat secara semi-random, berdasarkan pada sejumlah
daftar kata dan kondisi :
Judul:
Isi: kosong
Contoh :
Judul:FW:some questions
Atau :
Judul: A
Isi :This is a
I you would it.
Contoh :
Judul: A very new website
