Zeer snel is wel wat overdreven. Een aantal virus scanners vonden hem al (McAfee, Sophos) de verspreiding is er zeker wel, maar niet snel.

Het onderwerp wisselt, de bijlagen gebruiken de extensies bat, exe, pif en scr. Zie voor een goede beschrijving:
http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.h@mm.html

Statistieken van Messagelabs.com liegen er niet om ...
Mede door de wisselende hoedanigheid kan het een virus worden met een lange duur

Dr. Bug

Het zou me niet verbazen als blijkt dat deze worm de potentie heeft om uit te groeien tot viruslegendes als, W32.Magistr en Nimda. In Nederland is het beestje al opgedoken en heeft voor computer crashes gezorgd.

Pierpanda.

Het probleem met dit virus is dat het zichzelf herhaaldelijk verstuurt naar dezelfde ontvanger. De aantallen worden daardoor behoorlijk opgeblazen. Je zou moeten kijken naar de afzenders, maar dat kan hier niet want die wordt gefaked door het virus. Het afzender domein is daardoor niet betrouwbaar. Wat overblijft is afzender IP, die moet via whois constructies worden opgezocht, pas dan ontstaat een redelijk betrouwbaar beeld van aantallen besmette computers.

http://www.messagelabs.com/viruseye/report.asp?id=100

Het From: veld wordt gefaked maar niet het 'envelope from' adres. Dus kijk naar de 'ruwe tekst' van het bericht en je weet waar het vandaan komt. Ik kreeg het gisteren twee keer (met verschillende bericht-tekst en From: veld) van een hotel in Londen waar ik ooit eens per e-mail een reservering had gepleegd en 'dus' in het e-mail adresboek stond.

Het virus wordt ook verzonden middels een attachment die de extensie van .HTML.

Zodra deze .HTML file bekeken wordt wordt er op de achtergrond "iets" uitgevoerd.

Vervolgens wordt in de registry onder "run" een nieuwe waarde aangemaakt waarin de volgens mij gedownloade file aangeroepen wordt.

Herkenbaar dat het programma opgestart is, is dat bij verwijdering van deze sleutel na het drukken op de "F5" key gewoon weer terug komt.

Verwijderd (win98) door op te starten in dos modus en het bestand dat zich in de windowssystem directory bevindt eerst middels attrib -r -s -h verwijderbaar te maken, en vervolgens met Del [filename] te verwijderen.

Succes
J. Ramlal

Het virus is hier nu VIJF keer binnengekomen vanaf de account [email]alphasys@warwick.net[/email] met IP nummer 64.33.148.233, en [email]MAILER-DAEMON@mail15b.boca[/email]15-ve met HETZELFDE IP-nummer.

Kwader trouw is zeer aannemelijk, aangezien er nergens op gereageerd wordt. Sterker nog, de laatste mails worden verzonden met de volgende bogus 'anti-virus patch':

---------------------------------------
Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me.
---------------------------------------

De 'mail to me' is een link die het virus activeert! U bent dus gewaarschuwd hier niet op in te gaan.

Ik vond geen aanvullende info over het betreffende IP-nummer, maar als een andere lezer hier raad mee weet, zou ik zeggen leef je uit! Deze gasten behoren m.i. tot het ergste tuig op internet!

Be careful out there!

Het lijstje is nu uitgebreid met:
[email]danaok@wwt.net[/email]
[email]rvrboat@mc.net[/email]
En ook [email]alphasys@warwick.net[/email] blijft volharden in de cybercrime, met wisselende teksten in het Frans en Engels en een zwartgallig gevoel voor 'humor'...

Alle virus-mails komen van hetzelfde IP-adres 64.33.148.233

Let's Kill the bastards!

Rustig aan. Je maakt hier e-mail adressen publiek van personen die wellicht niet besmet zijn. Het afzenderadres is mogelijk gefaked. Het virus maakt gebruik van een hele range aan mogelijke teksten, waaronder een tekst waarin het zichzelf aanprijst als oplossing voor een eerdere variant van Klez.

Het is het virus dat de berichten verstuurt, niet een mens die jou aan wil vallen. De enigen die je tuig mag noemen zijn de virusschrijver en moedwillige virusverspreiders.

Nee, dat is niet altijd zo. Soms wordt het juiste envelope address gebruikt, maar de From: header geeft een andere en andersom.

Blijkt een West-Amerikaans systeem:

64.33.148.233 = meno-pub-dhcp-ws-40.dsl.airstreamcomm.net

Dus als je hier nou eens gaat klagen?:

Airstream Communications, LLC
7633 Ganser Way, Suite 202
Madison, WI 53719-2092

tel 001-608-829-2667

[email]info@airstreamcomm.net[/email]
[email]abuse@airstreamcomm.net[/email]

Dan killen hun de Bastard wel voor je ;-)