| Archive Liste Typographie
Message : Virus Klez (était : Undeliverable mail--"Arial, Helvetica, sans") (emef) - Lundi 03 Juin 2002 |
Navigation par date [ Précédent Index Suivant ] Navigation par sujet [ Précédent Index Suivant ] |
| Subject: | Virus Klez (était : Undeliverable mail--"Arial, Helvetica, sans") |
| Date: | Mon, 3 Jun 2002 21:29:57 +0200 |
| From: | emef <emef@xxxxxxxxx> |
Bonjour à tous, Juste quelques précisions sur le virus Klez (ça peut servir) : Klez.H (= Klez.G, Klez.I) Klez.H est une variante du virus Klez.E conçue pour en maximiser la propagation. En fonction des éditeurs d'antivirus, cette variante est également connue sous le nom de Klez.G ou Klez.I. Comme Klez.E, Klez.H est capable de se propager par email, par ICQ et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre, le corps et le nom du fichier attaché sont aléatoires, et s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d'Outlook, si l'application n'a pas été patchée contre une vulnérabilité MIME connue. Pour plus d'informations, lire la fiche de Klez.E. Outre les titres et corps de messages aléatoires et les faux message d'erreur "Undeliverable mail--"[titre]" ou "Returned mail--"[titre]", Klez.H se propage également sous la forme d'un mail intitulé "Worm Klez.E immunity" qui promet à l'utilisateur de l'immuniser contre le virus Klez.E s'il exécute le fichier joint... qui n'est autre que le virus Klez.H lui-même : "Klez.E is the most common world-wide spreading worm. It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me.". Étant donné que le virus s'envoie le plus souvent avec une adresse qui n'est pas celle de la personne contaminée (spoofing d'adresse email), pour prévenir la personne infectée il ne faut pas répondre au message reçu. Il est possible de regarder dans ses propriétés (sélectionnez le message, puis clic droit et choisir "Options..." ou "Propriétés"\ "Détails") et de prévenir la personne dont l'adresse email correspond au Return-Path: de l'entête du message, mais ça n'est pas forcément l'adresse de la personne infectée. Autres différences avec Klez.E, Klez.H installe une nouvelle version du virus associé Elkern (ElKern.3326, ElKern.C ou ElKern.D selon les éditeurs) et peut se propager accompagné d'un fichier pris au hasard sur le disque dur de la victime (.txt, .htm, .html, .wab, .asp, .doc, .rtf, .xls, .jpg, .cpp, .c, .pas, .mpg, .mpeg, .bak, .mp3 ou .pdf), d'où un risque potentiel pour la confidentialité des données. Enfin, contrairement à Klez.E Klez.H n'efface pas le contenu disque dur chaque 6ème jour de chaque mois impair, mais il supprime tout de même les antivirus et firewalls personnels les plus courants, laissant l'ordinateur vulnérable notamment aux autres virus. Pour cela il tente de terminer les processus et de supprimer les fichiers contenus dans les répertoires suivants : _AVP32, _AVPCC, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, NAV, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVWNT, ANTIVIR, AVPUPD, AVGCTRL, AVWIN95, SCAN32, VSHWIN32, F-STOPW, F-PROT95, ACKWIN32, VETTRAY, VET95, SWEEP95, PCCWIN98, IOMON98, AVPTC, AVE32, AVCONSOL, FP-WIN, DVP95, F-AGNT95, CLAW95, NVC95, *SCAN*, *VIRUS*, LOCKDOWN2000, Norton, Mcafee, Antivir et TASKMGR, ainsi que les fichiers de données Anti-Vir.dat, Chklist.dat, Chklist.ms, Chklist.cps, Chklist.tav, Ivb.ntz, Smartchk.ms, Smartchk.cps, Avgqt.dat, Aguard.dat. Pour s'en préserver, il faut s'assurer être à jour dans ses correctifs sécurité et supprimer le mail dès son arrivée dans la boîte de réception. Le site Windows Update pour mettre à jour Internet Explorer, ou sinon le télécharger le correctif français (Security Bulletin MS01-020) Télécharger l'utilitaire FIXKLEZ (Symantec) pour éliminer les virus Klez.A, .B, .C, .E, .G, .H et .I, ainsi que le virus Elkern associé Voila, désolé d'être un peu long, mais les personnes contaminées (du moins leur machine) c'est nous, non ? -- Bien à vous, emef réponse à :emef@xxxxxxxxx « La seule journée complètement perdue, est celle où l'on n'a pas ri » Chamfort
- Virus Klez (était : Undeliverable mail--"Arial, Helvetica, sans"), emef <=