Klez.H est une variante du virus Klez.E
conçue pour en maximiser la propagation. En fonction
des éditeurs d'antivirus, cette variante est également
connue sous le nom de Klez.G ou Klez.I.
Comme Klez.E, Klez.H est capable
de se propager par email, par ICQ et via les dossiers partagés.
Il se présente sous la forme d'un message dont le titre,
le corps et le nom du fichier attaché sont aléatoires,
et s'exécute automatiquement à l'ouverture du
mail ou lors de son affichage dans la fenêtre de prévisualisation
d'Outlook, si l'application n'a pas été patchée
contre une vulnérabilité MIME et IFRAME connue.
Pour plus d'informations, lire la fiche
de Klez.E.
Outre les titres et corps de messages aléatoires et
les faux message d'erreur "Undeliverable mail--"[titre]"
ou "Returned mail--"[titre]", Klez.H se propage également
sous la forme d'un mail intitulé "Worm Klez.E
immunity" qui promet à l'utilisateur de l'immuniser
contre le virus Klez.E s'il exécute
le fichier joint... qui n'est autre que le virus Klez.H lui-même
:
"Klez.E is the most common world-wide spreading worm.
It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most
common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious
virus. You only need to run this tool once,and then Klez will
never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real
worm,some AV monitor maybe cry when you run it. If so,Ignore
the warning,and select 'continue'. If you have any question,please
mail to me.".
Etant donné que le virus s'envoie le plus souvent
avec une adresse qui n'est pas celle de la personne contaminée
(spoofing d'adresse email), pour prévenir la personne
infectée il ne faut pas répondre au message
reçu. Il est possible de regarder dans ses propriétés
(sélectionnez le message, puis clic droit et choisir
"Options..." ou "Propriétés"\
"Détails") et de prévenir la personne
dont l'adresse email correspond au Return-Path: de l'entête
du message, mais ça n'est pas forcément l'adresse
de la personne infectée.
Autres différences avec Klez.E,
Klez.H installe une nouvelle version du virus associé
Elkern (ElKern.3326, ElKern.C ou ElKern.D selon les éditeurs)
et peut se propager accompagné d'un fichier pris au
hasard sur le disque dur de la victime (.txt, .htm, .html,
.wab, .asp, .doc, .rtf, .xls, .jpg, .cpp, .c, .pas, .mpg,
.mpeg, .bak, .mp3 ou .pdf), d'où un risque potentiel
pour la confidentialité des données. Enfin,
contrairement à Klez.E Klez.H
n'efface pas le contenu disque dur chaque 6ème jour
de chaque mois impair, mais il supprime tout de même
les antivirus et firewalls personnels les plus courants, laissant
l'ordinateur vulnérable notamment aux autres virus.
Pour cela il tente de terminer les processus et de supprimer
les fichiers contenus dans les répertoires suivants
: _AVP32, _AVPCC, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT,
NSPLUGIN, NAV, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32,
_AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVWNT,
ANTIVIR, AVPUPD, AVGCTRL, AVWIN95, SCAN32, VSHWIN32, F-STOPW,
F-PROT95, ACKWIN32, VETTRAY, VET95, SWEEP95, PCCWIN98, IOMON98,
AVPTC, AVE32, AVCONSOL, FP-WIN, DVP95, F-AGNT95, CLAW95, NVC95,
*SCAN*, *VIRUS*, LOCKDOWN2000, Norton, Mcafee, Antivir et
TASKMGR, ainsi que les fichiers de données Anti-Vir.dat,
Chklist.dat, Chklist.ms, Chklist.cps, Chklist.tav, Ivb.ntz,
Smartchk.ms, Smartchk.cps, Avgqt.dat, Aguard.dat.
Pour s'en préserver, il faut s'assurer être à
jour dans ses correctifs sécurité et supprimer
le mail dès son arrivée dans la boîte de réception.
Le site Windows
Update pour mettre à jour Internet Explorer, ou sinon
le télécharger le correctif français
ici
(Security
Bulletin MS01-020)
Télécharger
l'utilitaire FIXKLEZ (Symantec) pour éliminer les
virus Klez.A, .B, .C, .E, .G, .H et .I, ainsi que le virus
Elkern associé
Dossier Secuser.com
sur les virus
Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
Le virus-ver Klez.H transporte un passager clandestin
25/04 - ZDNet (lire
l'article)
Virus: le Klez nouveau est arrivé
18/04 - Réseaux & Télécoms (lire
l'article)
|