Klez.E
est un virus qui
se présente sous
la forme d'un message dont le titre, le corps et le nom du
fichier attaché sont aléatoires. Parfois accompagné
d'une image, ce fichier possède une extension en .EXE,
.PIF, .COM, .BAT, .SCR ou .RAR, mais l'extention visible peut
également être .WAV ou .MID car le virus peut
falsifier le content-type dans l'entête du message (avec
Outlook, la pièce jointe est alors invisible). Quelques
titres possibles :
How are you
Let's be friends
Darling
Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Jjapanese girl VS playboy
Look,my beautiful girl friend
eager to see you
Sspice girls' vocal concert
Japanese lass' sexy pictures
Sos!
Height
A IE 6.0 patch
Try this IE 6.0 patch
A special new game
A very new game
A special funny game
Border
Width
Marginwidth
Bgcolor
Cellspacing
False) window.parent.GoNext()
OnMouseOut
A very powful tool
A good tool
A funny website
W32.Klez removal tools
Language
Happy Lady Day
Run in DOS mode
Pretty Woman
Has sent you a card from The Perfect Greeting!
AccessKey
Snoopy
Happy New year
Have a good New year
Have a funny Epiphany
Hello,[votre nom ou pseudo],please try again
Hi,[votre nom ou pseudo],darling
Fw:[votre nom ou pseudo],japanese girl VS playboy
Re:[votre nom ou pseudo],how are you
Le virus
peut également se propager sous la forme d'un faux
message d'erreur intitulé Undeliverable mail--"[titre]"
ou "Returned mail--"[titre]". Dans ce cas, le corps
du message se présente sous la forme suivante, le fichier
attaché étant une copie du virus :
"The following mail can't be sent to [adresse email*]:
From: [votre adresse email]
To: [adresse email*]
Subject: [titre]
The attachment is the original mail"
* : adresse erronée
ou prise dans le carnet d'adresses de la personne infectée
Le virus
s'exécute automatiquement à l'ouverture du mail
ou lors de son affichage dans la fenêtre de prévisualisation
d'Outlook, si l'application n'a pas été patchée
contre une vulnérabilité MIME et IFRAME connue.
Si le
fichier joint est exécuté, le virus se
copie dans le répertoire Système de Windows
avec l'attribut "fichier caché" sous le nom
WINK*.EXE (où * est une chaîne de caractères
aléatoire), modifie la base de registres pour s'exécuter
automatiquement au prochain démarrage, puis copie dans
le répertoire Système et exécute le fichier
WQK.EXE correspondant au virus ElKern (Elkern.3587 ou ElKern.B
selon les éditeurs d'antivirus). Klez.E extrait
ensuite les adresses emails contenues dans les carnets d'adresses
Windows et ICQ pour s'envoyer automatiquement avec son propre
serveur SMTP, en utilisant généralement comme
adresse d'expéditeur l'adresse de l'un des correspondants
présents dans le carnet d'adresse voire une fausse
adresse piochée dans une liste pré-établie
:
pw246@columbia.edu
queen@helix.com.hk
yaya@wfc.com.tw
atoz@2911.net
anti@helix.com.hk
graph@helix.com.hk
street@verizon.net
sani@2911.net
santurn@verizon.net
andy@verizon.net
little@hitel.net
gigi@helix.com.hk
bet@helix.com.hk
lily@88win.com
sun@verizon.net
linda@verizon.net
raise@wfc.com.tw
rainrainman@hongkong.com
karala@hongkong.com
sammychen@wfc.com.tw
flywind@wfc.com.tw
suck@wfc.com.tw
urlove@wfc.com.tw
tutu@88win.com
cheu@2911.net
xyz@2911.net
pet@2911.net
girl@edirect168.com
littlecat@hongkong.com
panshugang@chinese.com
pipti@21cn.com
certpass@21cn.com
powerhero@263.net
CR7269CH@terra.es
RUBENSOTOAGUI@terra.es
ACAMDR@terra.es
ol-petech@terra. es
ROSANAMOLTO@terra.es
MANUEL23@terra.es
cristian_soto@terra.es
carlos_nuevo@terra.es
Etant
donné que le virus s'envoie le plus souvent avec une
adresse qui n'est pas celle de la personne contaminée
(spoofing d'adresse email), pour prévenir la personne
infectée il ne faut pas répondre au message
reçu. Il est possible de regarder dans ses propriétés
(sélectionnez le message, puis clic droit et choisir
"Options..." ou "Propriétés"\
"Détails") et de prévenir la personne
dont l'adresse email correspond au Return-Path: de l'entête
du message, mais ça n'est pas forcément l'adresse
de la personne infectée.
Klez.E
se propage le cas échéant via les dossiers partagés,
puis désactive et tente d'éliminer certains
antivirus et firewalls, en supprimant les clés de base
de registres et répertoires correspondants :
_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR2
Il tente
également de supprimer les fichiers de données
Anti-Vir.dat, Chklist.dat, Chklist.ms, Chklist.cps, Chklist.tav,
Ivb.ntz, Smartchk.ms, Smartchk.cps, Avgqt.dat, Aguard.dat.
Enfin,
le 6 de chaque mois impair (Janvier, Mars, Mai, Juillet, Septembre,
Novembre) le virus Klez.E écrase les principaux fichiers
de données du disque dur (TXT, HTM, HTML, WAB, DOC,
XLS, CPP, C, PAS, MPEG, MPG, BAK, MP3, et JPG) de manière
à ce que leur contenu ne soit plus récupérable.
Pour s'en
préserver, il faut s'assurer être à jour dans
ses correctifs sécurité et supprimer le mail
dès son arrivée dans la boîte de réception. L'utilitaire de
désinfection ci-dessous permet de rechercher et d'éliminer
Klez.A, Klez.B, Klez.C et Klez.E. Une
variante de Klez.E conçue pour une propagation maximum
est en circulation depuis le 17/04/02, sous le nom Klez.H.
Le site
Windows Update pour mettre à jour Internet Explorer, ou
sinon le télécharger le correctif français
ici
(Security
Bulletin MS01-020)
Télécharger
l'utilitaire FIXKLEZ (Symantec) pour éliminer les
virus Klez.A, .B, .C, .E, .G, .H et .I, ainsi que le virus
Elkern associé
Dossier
Secuser.com sur les virus
Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
Le
virus Klez.E, méchant un mois sur deux
06/03 - 01net (lire
l'article)
|