Le virus-ver Klez

Klez.E et Klez.H, deux variantes du virus-ver Klez ont défrayé la chronique au cours du premier semestre 2002. Ne soufflez-pas : ils sévissent encore !

Apparition : janvier 2002
Cible : Windows
Propagation : forte
Dégâts : potentiellement importants

Comment fonctionne Klez ?

Klez est un ver qui se propage par courrier électronique. Le virus s’exécute automatiquement à l’ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d’Outlook ou Outlook Express, si Internet Explorer 5.01 ou 5.5 n’a pas été corrigé (voir la page spéciale consacrée à la faille d’IE). Sur une machine infectée, le ver s’envoie automatiquement, en répondant d’une part à tous les messages de la boîte de réception, et en adressant un message aux adresses recensées dans les pages Web (HTML et ASP) stockées dans le répertoire « Mes Documents » ou le cache d’Internet Explorer. Il suffit que les destinataires affichent le message infecté ou ouvrent la pièce jointe pour se voir à leur tour infectés.

Qui est visé par ce virus ?

Ce virus-ver ne peut infecter que les ordinateurs fonctionnant sous Windows. Cela n’empêche pas les utilisateurs de MacOS et de Linux ou d’Unix de recevoir les mails générés par le ver.

Quels dégâts fait le virus ?

Il envoie des mails infectés : Klez extrait les adresses e-mail contenues dans le carnet d’adresses de Windows et d’ICQ pour s’envoyer automatiquement, en utilisant généralement comme adresse d’expéditeur l’adresse de l’un des correspondants présents dans le carnet d’adresses, voire une fausse adresse e-mail.
Il installe un autre virus : Klez est un virus à tiroir : l’un de ses malfaits est d’installer le virus Elkern, qui a la particularité de tenter de désactiver certains antivirus et firewalls, en supprimant les clés de la base de registres et les répertoires correspondants. Cela laisse l’ordinateur vulnérable aux autres virus.
Il peut écraser des données : le 6 de chaque mois impair (janvier, mars, mai, juillet, septembre, novembre), la variante E du virus (Klez.E) écrase les principaux fichiers de données du disque dur (d’extension .txt, .htm, .html, .wab, .doc, .xls, .mpeg, .mpg, .mp3, .jpg, etc.). Leur contenu est alors irrécupérable.
Il peut divulguer vos documents : la variante H du virus (Klez.H) peut se propager accompagné d’un fichier pris au hasard sur votre disque dur (.txt, .htm, .html, .wab, .asp, .doc, .rtf, .xls, .jpg, .cpp, .c, .pas, .mpg, .mpeg, .bak, .mp3 ou .pdf), d’où un risque pour la confidentialité de vos données.

Comment reconnaître un message contenant Klez ?

Klez se présente sous la forme d’un message dont le titre, le corps et le nom du fichier attaché sont aléatoires.

SujetIl peut être au hasard l’une des phrases ci-contre

How are youLet’s be friends

Darling

Don’t drink too much

Your password

Honey

Some questions

Please try again

Welcome to my hometown

the Garden of Eden

introduction on ADSL

Meeting notice

Questionnaire

Congratulations

Jjapanese girl VS playboy

Look,my beautiful girl friend

eager to see you

Sspice girls’ vocal concertJapanese lass’ sexy pictures

Sos!

Height

A IE 6.0 patch

Try this IE 6.0 patch

A special new game

A very new game

A special funny game

Border

Width

Marginwidth

Bgcolor

Cellspacing

False) window.parent.GoNext()

OnMouseOut

A very powful tool

A good tool

A funny website

W32.Klez removal toolsLanguage

Happy Lady Day

Run in DOS mode

Pretty Woman

Has sent you a card from The Perfect Greeting!

AccessKey

Snoopy

Hello,[votre nom ou pseudo],please try again

Hi,[votre nom ou pseudo],darling

Fw:[votre nom ou pseudo],japanese girl VS playboy

Re:[votre nom ou pseudo],how are you

Attention : message d’erreur ! Le virus peut aussi se propager sous la forme d’un faux message d’erreur. Le sujet est alors du style Undeliverable mail… ou Returned mail…. Le corps du message, lui, se présente comme un véritable message d’erreur.

Subject: Undeliverable mail

The following mail can’t be sent to [une adresse email]:

From: [votre adresse email] To: [une adresse email] Subject: [titre] The attachment is the original mail

Attention anti-virus ! Klez.H se propage également sous la forme d’un mail intitulé « Worm Klez.E immunity » qui propose à l’utilisateur de l’immuniser contre le virus Klez.E s’il exécute le fichier joint. Bien entendu, ce fichier n’est n’est autre que le virus Klez.H lui-même.

Subject: Worm Klez.E immunity

[/entetes]

Klez.E is the most common world-wide spreading worm. It’s very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic, most common AV software can’t detect or clean it.
We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once, and then Klez will never come into your PC.

NOTE: Because this tool acts as a fake Klez to fool the real worm, some AV monitor maybe cry when you run it. If so, Ignore the warning, and select ‘continue’. If you have any question, please mail to me.

Comment ne pas se faire infecter ?

Si vous utilisez Outlook Express 5.01 et 5.5 : Microsoft recommande fortement l’installation d’un correctif pour éviter l’infection par simple prévisualisation du message. Consultez la page spéciale consacrée à cette faille d’Internet Explorer.
Si vous avez un anti-virus : n’oubliez pas de mettre à jour la liste de définitions des virus.
Enfin, comme toujours, veillez à ne pas ouvrir les pièces jointes douteuses et à les supprimer dès réception.

Je suis infecté. Comment me débarrasser du ver ? Vous pouvez actionner votre antivirus si vous en possédez un (après avoir éventuellement mis à jour la liste des virus). Vous pouvez aussi vous rendre sur BitDefender.fr qui propose gratuitement un utilitaire de désinfection.

Sur le Web

Secuser News consacre des pages spéciales à Klez.E et à Klez.H
Le virus Klez.E, méchant un mois sur deux [01net., 06/03/2002]
McAfee.comSymantec