Win32/Klez.E

Win32:Klez-E je internetovým wormem, který navíc obsahuje komprimovanou kopii viru Win32:Elkern, který vypustí a spustí po své aktivaci. Tento worm hledá e-mailové adresy v adresáři Windows a pak pro své posílání používá vlastní rutinu.

Infikovaná zpráva má následující vlastnosti:
Subject line/Předmět: může být zcela náhodná nebo vybraná z následujícího seznamu:

How are you  
Let's be friends 
Darling 
Don't drink too much 
Your password 
Honey  
Some questions 
Please try again 
Welcome to my hometown 
the Garden of Eden 
introduction on ADSL 
Meeting notice 
Questionnaire 
Congratulations 
Sos! 
japanese girl VS playboy 
Look,my beautiful girl friend 
Eager to see you 
Spice girls' vocal concert 
Japanese lass' sexy pictures  
Body/Tělo: text může být vybrán náhodně, nemusí být žádný.
Attached file/Příloha: Náhodné jméno souboru, typ je .PIF, .SCR, .EXE nebo .BAT.

Jméno odesílatele, které se ve zprávě objeví, je vybráno náhodně ze seznamu, který si worm udržuje uvnitř sebe sama, takže skutečný (a infikovaný) uživatel je jiný než ten, který je ve zprávě uveden.
Worm se snaží pro své automatické spuštění na počítači oběti využít známou bezpečnostní díru MIME v programech MS-Outlook, MS-Outlook Express a Internet Explorer.
Worm se uloží do systémového adresáře Windows pod náhodným jménem. Potom přidá klíč registry do sekce HKLM\Software\Microsoft\Windows\CurrentVersion\Run\, a tak zajistí svoje spuštení při každém startu Windows. Worm je schopen se šířit i přes sdílené disky v lokální síti, kam se ukládá pod náhodnými jmény. Také se pokouší vyřadit z činnosti několik známých antivirových programů a smazat antivirové soubory.
Dne 6. března, května, září a listopadu worm přepíše na všech discích soubory typu .TXT, .HTM, .HTML, .WAB, .DOC, .XLS, .JPG, .C, .PAS, .MPG, .MPEG, .BAK a MP3. Dne 6. ledna a července worm přepíše všechny soubory na všech discích.


Zdroj: Alwil software - výrobce antiviru AVAST