Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
ALERTE CONTAMINATION

Virus
Klez.E

Klez.E est un virus qui se présente sous la forme d'un message dont le titre, le corps et le nom du fichier attaché sont aléatoires. Parfois accompagné d'une image, ce fichier possède une extension en .EXE, .PIF, .COM, .BAT, .SCR ou .RAR, mais l'extention visible peut également être .WAV ou .MID car le virus peut falsifier le content-type dans l'entête du message (avec Outlook, la pièce jointe est alors invisible). Quelques titres possibles :

How are you
Let's be friends
Darling
Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Jjapanese girl VS playboy
Look,my beautiful girl friend
eager to see you
Sspice girls' vocal concert
Japanese lass' sexy pictures
Sos!
Height
A IE 6.0 patch
Try this IE 6.0 patch
A special new game
A very new game
A special funny game
Border
Width
Marginwidth
Bgcolor
Cellspacing
False) window.parent.GoNext()
OnMouseOut
A very powful tool
A good tool
A funny website
W32.Klez removal tools
Language
Happy Lady Day
Run in DOS mode
Pretty Woman
Has sent you a card from The Perfect Greeting!
AccessKey
Snoopy
Happy New year
Have a good New year
Have a funny Epiphany
Hello,[votre nom ou pseudo],please try again
Hi,[votre nom ou pseudo],darling
Fw:[votre nom ou pseudo],japanese girl VS playboy
Re:[votre nom ou pseudo],how are you

Le virus peut également se propager sous la forme d'un faux message d'erreur intitulé Undeliverable mail--"[titre]" ou "Returned mail--"[titre]". Dans ce cas, le corps du message se présente sous la forme suivante, le fichier attaché étant une copie du virus :
"The following mail can't be sent to [adresse email*]:
From: [votre adresse email]
To: [adresse email*]
Subject: [titre]
The attachment is the original mail"
   * : adresse erronée ou prise dans le carnet d'adresses de la personne infectée

Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d'Outlook, si l'application n'a pas été patchée contre une vulnérabilité MIME et IFRAME connue.

Si le fichier joint est exécuté, le virus se copie dans le répertoire Système de Windows avec l'attribut "fichier caché" sous le nom WINK*.EXE (où * est une chaîne de caractères aléatoire), modifie la base de registres pour s'exécuter automatiquement au prochain démarrage, puis copie dans le répertoire Système et exécute le fichier WQK.EXE correspondant au virus ElKern (Elkern.3587 ou ElKern.B selon les éditeurs d'antivirus). Klez.E extrait ensuite les adresses emails contenues dans les carnets d'adresses Windows et ICQ pour s'envoyer automatiquement avec son propre serveur SMTP, en utilisant généralement comme adresse d'expéditeur l'adresse de l'un des correspondants présents dans le carnet d'adresse voire une fausse adresse piochée dans une liste pré-établie :

pw246@columbia.edu
queen@helix.com.hk
yaya@wfc.com.tw
atoz@2911.net
anti@helix.com.hk
graph@helix.com.hk
street@verizon.net
sani@2911.net
santurn@verizon.net
andy@verizon.net
little@hitel.net
gigi@helix.com.hk
bet@helix.com.hk
lily@88win.com
sun@verizon.net
linda@verizon.net
raise@wfc.com.tw
rainrainman@hongkong.com
karala@hongkong.com
sammychen@wfc.com.tw
flywind@wfc.com.tw
suck@wfc.com.tw
urlove@wfc.com.tw
tutu@88win.com
cheu@2911.net
xyz@2911.net
pet@2911.net
girl@edirect168.com
littlecat@hongkong.com
panshugang@chinese.com
pipti@21cn.com
certpass@21cn.com
powerhero@263.net
CR7269CH@terra.es
RUBENSOTOAGUI@terra.es
ACAMDR@terra.es
ol-petech@terra. es
ROSANAMOLTO@terra.es
MANUEL23@terra.es
cristian_soto@terra.es
carlos_nuevo@terra.es

Etant donné que le virus s'envoie le plus souvent avec une adresse qui n'est pas celle de la personne contaminée (spoofing d'adresse email), pour prévenir la personne infectée il ne faut pas répondre au message reçu. Il est possible de regarder dans ses propriétés (sélectionnez le message, puis clic droit et choisir "Options..." ou "Propriétés"\ "Détails") et de prévenir la personne dont l'adresse email correspond au Return-Path: de l'entête du message, mais ça n'est pas forcément l'adresse de la personne infectée.

Klez.E se propage le cas échéant via les dossiers partagés, puis désactive et tente d'éliminer certains antivirus et firewalls, en supprimant les clés de base de registres et répertoires correspondants :

_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR2

Il tente également de supprimer les fichiers de données Anti-Vir.dat, Chklist.dat, Chklist.ms, Chklist.cps, Chklist.tav, Ivb.ntz, Smartchk.ms, Smartchk.cps, Avgqt.dat, Aguard.dat.

Enfin, le 6 de chaque mois impair (Janvier, Mars, Mai, Juillet, Septembre, Novembre) le virus Klez.E écrase les principaux fichiers de données du disque dur (TXT, HTM, HTML, WAB, DOC, XLS, CPP, C, PAS, MPEG, MPG, BAK, MP3, et JPG) de manière à ce que leur contenu ne soit plus récupérable.

Pour s'en préserver, il faut s'assurer être à jour dans ses correctifs sécurité et supprimer le mail dès son arrivée dans la boîte de réception. L'utilitaire de désinfection ci-dessous permet de rechercher et d'éliminer Klez.A, Klez.B, Klez.C et Klez.E. Une variante de Klez.E conçue pour une propagation maximum est en circulation depuis le 17/04/02, sous le nom Klez.H.

Le site Windows Update pour mettre à jour Internet Explorer, ou sinon le télécharger le correctif français ici (Security Bulletin MS01-020)

Télécharger l'utilitaire FIXKLEZ (Symantec) pour éliminer les virus Klez.A, .B, .C, .E, .G, .H et .I, ainsi que le virus Elkern associé

Dossier Secuser.com sur les virus

Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus

 

Le virus Klez.E, méchant un mois sur deux
06/03 - 01net (lire l'article)

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2017 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons