I-Worm/Klez.H & Win32/ElKern

Varianta I-Worm/Klez.H se šíří e-mailem s jednou nebo dvěma přílohami. První příloha je vlastní virus, druhá příloha může být náhodně vybraný dokument z napadeného počítače. Worm využívá bezpečnostní díru (IFRAME exploit), díky které se může na některých systémech aktivovat při pouhém prohlédnutí infikované zprávy.

Infikovaná zpráva má Předmět/Subjekt vybraný z následujícího seznamu:

Hi,
Hello, 
Re: 
Fw: 
Undeliverable mail--"%s"
Returned mail--"%s" 
a %s %s game 
a %s %s tool 
a %s %s website 
a %s %s patch 
%s removal tools 
How are you 
let's be friends
darling 
so cool a flash,enjoy
it your password 
honey some questions 
please try again 
welcome to my hometown
the Garden of Eden 
introduction on ADSL 
meeting notice 
questionnaire 
congratulations 
sos! 
japanese girlVS playboy
look,my beautiful girl friend
eager to see you 
spice girls' vocal concert
japanese lass' sexy pictures

kde místo znaku %s je použito některé z těchto slov:

new
funny 
nice 
humour 
excite 
good 
powful 
WinXP 
IE 6.0 
W32.Elkern 
W32.Klez.E

Tělo zprávy je sestaveno z poměrně velké databáze textů (anglických). Kuriózní variantou, jak se worm prezentuje, je následující text mailu, ve kterém se nabízí jako nástroj na odstranění svého předchůdce I-Worm/Klez.E:

Worm Klez.E immunity 
Klez.E is the most common world-wide spreading worm.It's very dangerous
by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most
common AV so ftware can't detect or clean it. 
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into
your PC.
NOTE: Because this tool acts as a fake Klez to fool the real
worm,some AV monit or maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.

Po aktivaci se worm, podobně jako předchozí verze, zkopíruje do systémového adresáře Windows a zajistí své spuštění pomocí klíčů v registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\System\CurrentControlSet\Services

Dále se worm rozešle na adresy obsažené ve Windows Address Booku, přičemž zfalšuje jméno odesílatele náhodně vybranou adresou.
Na rozdíl od svých předchůdců virus neobsahuje kód pro přepisování souborů. Místo toho je schopen nahrazovat některé .EXE programy sám sebou, přičemž původní obsah souboru je uložen v zakódované podobě v souboru se stejným jménem, ale náhodnou příponou a s nastavenými atributy: skrytý, systemový soubor.
Worm se dokáže vkládat do archívu typu .RAR a šířit se po lokální síti pomocí otevřených sdílení disků.
Worm se pokouší aktivně narušit antivirovou kontrolu tím, že vyhledává a ukončuje následující běžící procesy:

_AVP32 NAVLU32 NAVWNT SWEEP95 
_AVPCC NAVRUNR ANTIVIR PCCWIN98 
NOD32 NAVW32 AVPUPD IOMON98 
NPSSVC _AVPM AVGCTRL AVPTC 
NRESQ32 ALERTSVC AVWIN95 AVE32 
NSCHED32 AMON SCAN32 AVCONSOL 
NSCHEDNT AVP32 VSHWIN32 FP-WIN 
NSPLUGIN AVPCC F-STOPW DVP95 
NAV AVPM F-PROT95 F-AGNT95 
NAVAPSVC N32SCANW ACKWIN32 CLAW95 
NAVAPW32 VET95 VETTRAY NVC95 

a maže tyto antivirové databáze:

ANTI-VIR.DAT
CHKLIST.DAT 
CHKLIST.MS 
CHKLIST.CPS 
CHKLIST.TAV 
IVB.NTZ 
SMARTCHK.MS 
SMARTCHK.CPS 
AVGQT.DAT 
AGUARD.DAT

Kromě vlastní činnosti worm vypouští do napadeného počítače novou variantu viru Win32/ElKern.
Win32/ElKern je asi 4 KB velký polymorfní virus, který po aktivaci prochází všechny spustitelné soubory na všech discích a vhodné oběti infikuje.
Varianta šířená společně s wormem I-Worm/Klez.H je vybavena mechanismem, který umožňuje viru překódovat části vlastního těla po každém spuštění a oproti předchozím verzím neobsahuje žádnou destrukční činnost.

Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG