[helpc] Le virus-ver Klez.H transporte un passager clandestin
- From: "Angel" <angel.alexander@xxxxxxxxx>
- To: helpc@xxxxxxxxxxxxx
- Date: Fri, 26 Apr 2002 23:39:12 +0200
Le virus-ver Klez.H transporte un passager clandestin
ZDNet France
25 avril 2002
Les éditeurs de logiciels antivirus alertent leurs clients sur la propagation
inquiétante du virus-ver Klez.H, une variante de Klez.A, dont l'une des
nouveautés est de pouvoir transmettre des fichiers confidentiels à des inconnus.
Klez.H, que certains éditeurs appellent également Klez.F, semble n'être qu'une
énième variante du virus-ver Klez.A, apparu en octobre 2001. Mais il se repand
beaucoup plus rapidement que les autres membres de sa famille. Pour cette
raison, ZDNet lui attribue un indice de dangerosité de 6 sur une échelle de 10.
Selon l'observatoire international de l'éditeur de logiciel antivirus Trend
Micro (OfficeScan et PC-cillin), Klez.H est ainsi le virus affichant le plus
fort taux de propagation durant ses sept derniers jours, avec près de 125000
ordinateurs contaminés dans le monde.
Il reprend les mêmes principes de propagation et d'attaque que la version
précédente Klez.E (lire notre actualité du 6 mars 2002). La principale
différence est que Klez.H joint à l'e-mail un fichier pris au hasard sur le
disque (notamment avec des extensions .doc ou.xls), à l'image du virus-ver
Sircam - qui a fait parler de lui l'an dernier. «Il y a donc un risque d'envoi
d'informations confidentielles, ce que Klez.E ne faisait pas», explique à ZDNet
Damase Tricart, chef produits chez Symantec France.
Un second virus en cadeau
Autre nouveauté: Klez.H installe, comme Klez.E, un virus clandestin dans le
système, baptisé W32.Elkern.4926. Mais s'il est moins vorace, il est plus
difficile à détecter: il altère quelques fichiers systèmes, ce qui peut rendre
Windows instable dans certains cas.
Enfin, Klez.H n'est pas programmé pour effacer de fichiers le 6 des mois
impairs, à l'inverse de Klez.E.
Ce virus exploite une ancienne faille de sécurité d'Internet Explorer et
Outlook Express (dans leur version pour Windows), corrigée par un patch
disponible depuis le 29 mars 2001, qu'il est donc vivement conseillé
d'installer.
De son côté, Damase Tricart invite bien entendu les utilisateurs à mettre à
jour leur logiciel antivirus pour se protéger et désinfecter leur système.
Mais, comme ce virus tente aussi de mettre hors service les logiciels
antivirus, Trend Micro et Symantec proposent des désinfections manuelles.
En tout cas, les utilisateurs de GNU/Linux et de Mac OS pourront une nouvelle
fois se réjouir de ne pas être concernés par ce virus.
Klez.E, un ver sournois censé frapper mercredi 6 mars
ZDNet France
6 mars 2002
Les éditeurs de logiciels antivirus alertent les internautes sur la propagation
du virus-ver Klez.E. Il désactive les antivirus et détruit des données sur le
système, tous les 6 de chaque mois impair (janvier à novembre).
Klez.E, également répertorié "W32.Klez.E@mm" est une variante d'un ver
découvert en octobre 2001 (Klez.A le 26/10, Klez.B le 30/10) qui a,
entre-temps, subi de nombreuses mutations. La dernière mouture s'est énormément
propagée et figure désormais au 7e rang des virus les plus répandus dans le
monde, indique l'observatoire de Trend Micro. ZDNet lui attribue un indice de
dangerosité de 7 sur une échelle de 10.
Ce virus infecte les ordinateurs fonctionnant avec les systèmes d'exploitation
Windows 98, Me, 2000 et XP. Les Macintosh et les PC sous GNU/Linux ne sont donc
pas concernés. Les systèmes Windows vulnérables sont avant tout ceux protégés
par des logiciels antivirus utilisant la méthode de détection par "scanner";
elle nécessite une mise à jour pour rapatrier la "signature" de la bestiole.
Cette méthode est employée par les principaux acteurs du marché, de AVP
(Kaspersky Labs) à PC-Cillin (Trend Micro).
Klez.E détruit les principaux antivirus
Cette nouvelle version de Klez a été découverte et répertoriée la première fois
dans les bases des antivirus, le 17 janvier 2002. Sa particularité serait de
déclencher des opérations de destruction de fichiers à une date précise, le 6
de chaque mois impair (janvier, mars et jusqu'au 6 novembre). «On s'aperçoit
aujourd'hui qu'il continue de croître et vient progressivement à bout des
antivirus, car sa première action d'infection est justement de les détruire»,
explique un porte-parole de Network Associates en France (éditeur de Virus
Scan), qui a isolé Klez.E la première fois le 23 janvier dernier.
Il se propage très classiquement par email via l'outil de messagerie Outlook
Express de Microsoft. Mais il se répand également, une fois présent sur une
machine, en contaminant des fichiers partagés dans un réseau interne, par
exemple, explique Trend Micro dans son alerte.
Il y a près d'une vingtaine d'énoncés différents pour l'objet du message, tous
en anglais, de «How are you» à «Sos!» en passant par «Look, my beautiful girl
friend». Le corps du message reste en revanche vide dans tous les cas. L'email
possède une pièce jointe, aux noms divers, générés aléatoirement, avec près de
six extensions possibles (.exe, .bat, .scr, etc.), voire deux extensions à la
fois, dont les très courues MP3 ou MPEG. Difficile donc de l'identifier.
Autre détail important: le fait de ne pas ouvrir la pièce jointe ne protègera
pas le système, car Klez.E s'active automatiquement à la simple lecture du
message, si toutefois la version de Outlook Express n'a pas été mise à jour
pour tenir compte de la faille que le ver exploite.
Il efface les fichiers .doc ou ..mp3
Une fois activé, Klez.E se transmet alors à tous les contacts présents dans le
carnet d'adresses. Il se copie également sur les disques durs présents sur un
éventuel réseau sous la forme de fichiers texte ou autres.
Comme de plus en plus de vers, il tente de désactiver les logiciels antivirus
en détruisant certains fichiers nécessaires à leur bon fonctionnement, rendant
ainsi le système vulnérable à toute autre attaque. Il se met alors en veille et
va, le 6e jour de chaque mois, effacer aléatoirement des fichiers créés avec
Word ou Excel, ainsi que des vidéos (MPEG), des images (JPG), des fichiers
audio (MP3) ou HTML.
Klez.E exploite pour se propager une ancienne vulnérabilité d'Outlook Express,
présente dans ses versions 5.01 et 5.5. Elle est corrigée avec les versions
5.01 SP2 et 5.5 SP2 disponibles en téléchargement. La mise à jour vers IE 6.0
protège également de ce ver. Enfin, dans tous les cas, les éditeurs conseillent
de mettre à jour leurs logiciels antivirus ou de les réinstallés s'ils ont été
détruits.
Angel A.
List admin.
angel.alexander@xxxxxxxxx
Other related posts:
- » [helpc] Le virus-ver Klez.H transporte un passager clandestin