|
Klez.E est un virus qui se présente sous la forme d'un message dont le titre, le corps et le nom du fichier attaché sont aléatoires. Parfois accompagné d'une image, ce fichier possède une extension en .EXE, .PIF, .COM, .BAT, .SCR ou .RAR, mais l'extention visible peut également être .WAV ou .MID car le virus peut falsifier le content-type dans l'entête du message (avec Outlook, la pièce jointe est alors invisible). Quelques titres possibles :
<snip>
Le virus peut également se propager sous la forme d'un faux message d'erreur intitulé Undeliverable mail--"[titre]" ou "Returned mail--"[titre]". Dans ce cas, le corps du message se présente sous la forme suivante, le fichier attaché étant une copie du virus :
"The following mail can't be sent to [adresse email*]:
From: [votre adresse email]
To: [adresse email*]
Subject: [titre]
The attachment is the original mail"
* : adresse erronée ou prise dans le carnet d'adresses de la personne infectée
Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d'Outlook, si l'application n'a pas été patchée contre une vulnérabilité MIME et IFRAME connue.
Si le fichier joint est exécuté, le virus se copie dans le répertoire Système de Windows avec l'attribut "fichier caché" sous le nom WINK*.EXE (où * est une chaîne de caractères aléatoire), modifie la base de registres pour s'exécuter automatiquement au prochain démarrage, puis copie dans le répertoire Système et exécute le fichier WQK.EXE correspondant au virus ElKern (Elkern.3587 ou ElKern.B selon les éditeurs d'antivirus). Klez.E extrait ensuite les adresses emails contenues dans les carnets d'adresses Windows et ICQ pour s'envoyer automatiquement avec son propre serveur SMTP, en utilisant généralement comme adresse d'expéditeur l'adresse de l'un des correspondants présents dans le carnet d'adresse voire une fausse adresse piochée dans une liste pré-établie :
<snip>
Etant donné que le virus s'envoie le plus souvent avec une adresse qui n'est pas celle de la personne contaminée (spoofing d'adresse email), pour prévenir la personne infectée il ne faut pas répondre au message reçu. Il est possible de regarder dans ses propriétés (sélectionnez le message, puis clic droit et choisir "Options..." ou "Propriétés"\ "Détails") et de prévenir la personne dont l'adresse email correspond au Return-Path: de l'entête du message, mais ça n'est pas forcément l'adresse de la personne infectée.
Klez.E se propage le cas échéant via les dossiers partagés, puis désactive et tente d'éliminer certains antivirus et firewalls, en supprimant les clés de base de registres et répertoires correspondants :
<snip>
Il tente également de supprimer les fichiers de données Anti-Vir.dat, Chklist.dat, Chklist.ms, Chklist.cps, Chklist.tav, Ivb.ntz, Smartchk.ms, Smartchk.cps, Avgqt.dat, Aguard.dat.
Enfin, le 6 de chaque mois impair (Janvier, Mars, Mai, Juillet, Septembre, Novembre) le virus Klez.E écrase les principaux fichiers de données du disque dur (TXT, HTM, HTML, WAB, DOC, XLS, CPP, C, PAS, MPEG, MPG, BAK, MP3, et JPG) de manière à ce que leur contenu ne soit plus récupérable.
Pour s'en préserver, il faut s'assurer être à jour dans ses correctifs sécurité et supprimer le mail dès son arrivée dans la boîte de réception. L'utilitaire de désinfection ci-dessous permet de rechercher et d'éliminer Klez.A, Klez.B, Klez.C et Klez.E. Une variante de Klez.E conçue pour une propagation maximum est en circulation depuis le 17/04/02, sous le nom Klez.H. |
