Info disponible sur Internet à l’adresse : http://www.secuser.com/alertes/2002/klez.htm
Klez.E est un virus qui se présente sous la forme d'un message dont le titre, le corps et le nom du fichier attaché sont aléatoires. Parfois accompagné d'une image, ce fichier possède une extension en .EXE, .PIF, .COM, .BAT, .SCR ou .RAR, mais l'extension visible peut également être .WAV ou .MID car le virus peut falsifier le content-type dans l'entête du message (avec Outlook, la pièce jointe est alors invisible). Quelques titres possibles :
How are you
Let's be friends
Darling
Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Jjapanese girl VS playboy
Look,my beautiful girl friend
eager to see you
Sspice girls' vocal concert
Japanese lass' sexy pictures
Sos!
Height
A IE 6.0 patch
Try this IE 6.0 patch
A special new game
A very new game
A special funny game
Border
Width
Marginwidth
Bgcolor
Cellspacing
False) window.parent.GoNext()
OnMouseOut
A very powful tool
A good tool
A funny website
W32.Klez removal tools
Language
Happy Lady Day
Run in DOS mode
Pretty Woman
Has sent you a card from The Perfect Greeting!
AccessKey
Snoopy
Hello,[votre nom ou pseudo],please try again
Hi,[votre nom ou pseudo],darling
Fw:[votre nom ou pseudo],japanese girl VS playboy
Re:[votre nom ou pseudo],how are you
Le virus peut également se
propager sous la forme d'un faux message d'erreur intitulé Undeliverable
mail--"[titre]" ou "Returned mail--"[titre]". Dans
ce cas, le corps du message se présente sous la forme suivante, le fichier
attaché étant une copie du virus :
"The following mail can't be sent to [adresse email*]:
From: [votre adresse email]
To: [adresse email*]
Subject: [titre]
The attachment is the original mail"
* : adresse
erronée ou prise dans le carnet d'adresses de la personne infectée
Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d'Outlook, si l'application n'a pas été patchée contre une vulnérabilité MIME connue.
Si le fichier joint est exécuté, le virus se copie dans le répertoire Système de Windows avec l'attribut "fichier caché" sous le nom WINK*.EXE (où * est une chaîne de caractères aléatoire), modifie la base de registres pour s'exécuter automatiquement au prochain démarrage, puis copie dans le répertoire Système et exécute le fichier WQK.EXE correspondant au virus ElKern (Elkern.3587 ou ElKern.B selon les éditeurs d'antivirus). Klez.E extrait ensuite les adresses emails contenues dans les carnets d'adresses Windows et ICQ pour s'envoyer automatiquement avec son propre serveur SMTP, en utilisant généralement comme adresse d'expéditeur l'adresse de l'un des correspondants présents dans le carnet d'adresse voire une fausse adresse piochée dans une liste pré-établie :
pw246columbia.edu
queenhelix.com.hk
yayawfc.com.tw
atoz2911.net
antihelix.com.hk
graphhelix.com.hk
streetverizon.net
sani2911.net
santurnverizon.net
andyverizon.net
littlehitel.net
gigihelix.com.hk
bethelix.com.hk
lily88win.com
sunverizon.net
lindaverizon.net
raisewfc.com.tw
rainrainmanhongkong.com
karalahongkong.com
sammychenwfc.com.tw
flywindwfc.com.tw
suckwfc.com.tw
urlovewfc.com.tw
tutu88win.com
cheu2911.net
xyz2911.net
pet2911.net
girledirect168.com
littlecathongkong.com
panshugangchinese.com
pipti21cn.com
certpass21cn.com
powerhero263.net
CR7269CHterra.es
RUBENSOTOAGUIterra.es
ACAMDRterra.es
ol-petechterra. es
ROSANAMOLTOterra.es
MANUEL23terra.es
cristian_sototerra.es
carlos_nuevoterra.es
Etant donné que le virus s'envoie le plus souvent avec une adresse qui n'est pas celle de la personne contaminée (spoofing d'adresse email), pour prévenir la personne infectée il ne faut pas répondre au message reçu. Il est possible de regarder dans ses propriétés (sélectionnez le message, puis clic droit et choisir "Options..." ou "Propriétés"\ "Détails") et de prévenir la personne dont l'adresse email correspond au Return-Path: de l'entête du message, mais ça n'est pas forcément l'adresse de la personne infectée.
Klez.E se propage le cas échéant via les dossiers partagés, puis désactive et tente d'éliminer certains antivirus et firewalls, en supprimant les clés de base de registres et répertoires correspondants :
_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR2
Il tente également de supprimer les fichiers de données Anti-Vir.dat, Chklist.dat, Chklist.ms, Chklist.cps, Chklist.tav, Ivb.ntz, Smartchk.ms, Smartchk.cps, Avgqt.dat, Aguard.dat.
Enfin, le 6 de chaque mois impair (Janvier, Mars, Mai, Juillet, Septembre, Novembre) le virus Klez.E écrase les principaux fichiers de données du disque dur (TXT, HTM, HTML, WAB, DOC, XLS, CPP, C, PAS, MPEG, MPG, BAK, MP3, et JPG) de manière à ce que leur contenu ne soit plus récupérable.
Pour s'en préserver, il faut s'assurer être à jour dans ses correctifs sécurité et supprimer le mail dès son arrivée dans la boîte de réception. L'utilitaire de désinfection ci-dessous permet de rechercher et d'éliminer Klez.A, Klez.B, Klez.C et Klez.E. Une variante de Klez.E conçue pour une propagation maximum est en circulation depuis le 17/04/02, sous le nom Klez.H.
Le site Windows Update pour mettre à jour Internet Explorer, ou sinon le télécharger le correctif français ici (Security Bulletin MS01-020)
Télécharger
l'utilitaire FIXKLEZ (Symantec) pour éliminer les virus Klez.A, .B, .C, .E,
.G, .H et .I, ainsi que le virus Elkern associé
Dossier Secuser.com sur les virus
Abonnement gratuit à la lettre Secuser Alert pour être prévenu de
l'apparition des nouveaux hoax et virus
Le virus Klez.E, méchant un mois sur deux
Autres adresses Internet traitant de la famille KLEZ :
http://www.sophos.fr/virusinfo/analyses/w32kleze.html
http://solutions.journaldunet.com/dossiers/virus/sommaire.shtml
http://news.zdnet.fr/story/0,,t140-s2109179,00.html