Le virus-ver Klez.H transporte un passager clandestin ZDNet France 25 avril 2002 Les éditeurs de logiciels antivirus alertent leurs clients sur la propagation inquiétante du virus-ver Klez.H, une variante de Klez.A, dont l'une des nouveautés est de pouvoir transmettre des fichiers confidentiels à des inconnus. Klez.H, que certains éditeurs appellent également Klez.F, semble n'être qu'une énième variante du virus-ver Klez.A, apparu en octobre 2001. Mais il se repand beaucoup plus rapidement que les autres membres de sa famille. Pour cette raison, ZDNet lui attribue un indice de dangerosité de 6 sur une échelle de 10. Selon l'observatoire international de l'éditeur de logiciel antivirus Trend Micro (OfficeScan et PC-cillin), Klez.H est ainsi le virus affichant le plus fort taux de propagation durant ses sept derniers jours, avec près de 125000 ordinateurs contaminés dans le monde. Il reprend les mêmes principes de propagation et d'attaque que la version précédente Klez.E (lire notre actualité du 6 mars 2002). La principale différence est que Klez.H joint à l'e-mail un fichier pris au hasard sur le disque (notamment avec des extensions .doc ou.xls), à l'image du virus-ver Sircam - qui a fait parler de lui l'an dernier. «Il y a donc un risque d'envoi d'informations confidentielles, ce que Klez.E ne faisait pas», explique à ZDNet Damase Tricart, chef produits chez Symantec France. Un second virus en cadeau Autre nouveauté: Klez.H installe, comme Klez.E, un virus clandestin dans le système, baptisé W32.Elkern.4926. Mais s'il est moins vorace, il est plus difficile à détecter: il altère quelques fichiers systèmes, ce qui peut rendre Windows instable dans certains cas. Enfin, Klez.H n'est pas programmé pour effacer de fichiers le 6 des mois impairs, à l'inverse de Klez.E. Ce virus exploite une ancienne faille de sécurité d'Internet Explorer et Outlook Express (dans leur version pour Windows), corrigée par un patch disponible depuis le 29 mars 2001, qu'il est donc vivement conseillé d'installer. De son côté, Damase Tricart invite bien entendu les utilisateurs à mettre à jour leur logiciel antivirus pour se protéger et désinfecter leur système. Mais, comme ce virus tente aussi de mettre hors service les logiciels antivirus, Trend Micro et Symantec proposent des désinfections manuelles. En tout cas, les utilisateurs de GNU/Linux et de Mac OS pourront une nouvelle fois se réjouir de ne pas être concernés par ce virus. Klez.E, un ver sournois censé frapper mercredi 6 mars ZDNet France 6 mars 2002 Les éditeurs de logiciels antivirus alertent les internautes sur la propagation du virus-ver Klez.E. Il désactive les antivirus et détruit des données sur le système, tous les 6 de chaque mois impair (janvier à novembre). Klez.E, également répertorié "W32.Klez.E@mm" est une variante d'un ver découvert en octobre 2001 (Klez.A le 26/10, Klez.B le 30/10) qui a, entre-temps, subi de nombreuses mutations. La dernière mouture s'est énormément propagée et figure désormais au 7e rang des virus les plus répandus dans le monde, indique l'observatoire de Trend Micro. ZDNet lui attribue un indice de dangerosité de 7 sur une échelle de 10. Ce virus infecte les ordinateurs fonctionnant avec les systèmes d'exploitation Windows 98, Me, 2000 et XP. Les Macintosh et les PC sous GNU/Linux ne sont donc pas concernés. Les systèmes Windows vulnérables sont avant tout ceux protégés par des logiciels antivirus utilisant la méthode de détection par "scanner"; elle nécessite une mise à jour pour rapatrier la "signature" de la bestiole. Cette méthode est employée par les principaux acteurs du marché, de AVP (Kaspersky Labs) à PC-Cillin (Trend Micro). Klez.E détruit les principaux antivirus Cette nouvelle version de Klez a été découverte et répertoriée la première fois dans les bases des antivirus, le 17 janvier 2002. Sa particularité serait de déclencher des opérations de destruction de fichiers à une date précise, le 6 de chaque mois impair (janvier, mars et jusqu'au 6 novembre). «On s'aperçoit aujourd'hui qu'il continue de croître et vient progressivement à bout des antivirus, car sa première action d'infection est justement de les détruire», explique un porte-parole de Network Associates en France (éditeur de Virus Scan), qui a isolé Klez.E la première fois le 23 janvier dernier. Il se propage très classiquement par email via l'outil de messagerie Outlook Express de Microsoft. Mais il se répand également, une fois présent sur une machine, en contaminant des fichiers partagés dans un réseau interne, par exemple, explique Trend Micro dans son alerte. Il y a près d'une vingtaine d'énoncés différents pour l'objet du message, tous en anglais, de «How are you» à «Sos!» en passant par «Look, my beautiful girl friend». Le corps du message reste en revanche vide dans tous les cas. L'email possède une pièce jointe, aux noms divers, générés aléatoirement, avec près de six extensions possibles (.exe, .bat, .scr, etc.), voire deux extensions à la fois, dont les très courues MP3 ou MPEG. Difficile donc de l'identifier. Autre détail important: le fait de ne pas ouvrir la pièce jointe ne protègera pas le système, car Klez.E s'active automatiquement à la simple lecture du message, si toutefois la version de Outlook Express n'a pas été mise à jour pour tenir compte de la faille que le ver exploite. Il efface les fichiers .doc ou ..mp3 Une fois activé, Klez.E se transmet alors à tous les contacts présents dans le carnet d'adresses. Il se copie également sur les disques durs présents sur un éventuel réseau sous la forme de fichiers texte ou autres. Comme de plus en plus de vers, il tente de désactiver les logiciels antivirus en détruisant certains fichiers nécessaires à leur bon fonctionnement, rendant ainsi le système vulnérable à toute autre attaque. Il se met alors en veille et va, le 6e jour de chaque mois, effacer aléatoirement des fichiers créés avec Word ou Excel, ainsi que des vidéos (MPEG), des images (JPG), des fichiers audio (MP3) ou HTML. Klez.E exploite pour se propager une ancienne vulnérabilité d'Outlook Express, présente dans ses versions 5.01 et 5.5. Elle est corrigée avec les versions 5.01 SP2 et 5.5 SP2 disponibles en téléchargement. La mise à jour vers IE 6.0 protège également de ce ver. Enfin, dans tous les cas, les éditeurs conseillent de mettre à jour leurs logiciels antivirus ou de les réinstallés s'ils ont été détruits. Angel A. List admin. angel.alexander@xxxxxxxxx