Virus Klez (= Klez.E, Klez.H) Klez.E est un virus qui se présente sous la forme d'un message dont le titre, le corps et le nom du fichier attaché sont aléatoires. Parfois accompagné d'une image, ce fichier possède une extension en .EXE, .PIF, .COM, .BAT, .SCR ou .RAR, mais l'extention visible peut également être .WAV ou .MID car le virus peut falsifier le content-type dans l'entête du message (avec Outlook, la pièce jointe est alors invisible). Quelques titres possibles : A special new game A special funny game A IE 6.0 patch A WinXP patch Spice girls' vocal concert Happy Lady Day Hello,let's be friends Run in DOS mode How are you Let's be friends Darling Don't drink too much Your password Honey Some questions Please try again Welcome to my hometown the Garden of Eden introduction on ADSL Meeting notice Questionnaire Congratulations Sos! japanese girl VS playboy Look,my beautiful girl friend Eager to see you Japanese lass' sexy pictures Pretty Woman Le virus peut également se propager sous la forme d'un faux message d'erreur intitulé Undeliverable mail--"[titre]" ou "Returned mail--"[titre]". Dans ce cas, le corps du message se présente sous la forme suivante, le fichier attaché étant une copie du virus : "The following mail can't be sent to [adresse email de la personne infectée]: From: [votre adresse email] To: [adresse email de la personne infectée] Subject: [titre] The attachment is the original mail" Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d'Outlook, si l'application n'a pas été patchée contre une vulnérabilité MIME connue. Si le fichier joint est exécuté, le virus se copie dans le répertoire Système de Windows avec l'attribut "fichier caché" sous le nom WINK*.EXE (où * est une chaîne de caractères aléatoire), modifie la base de registres pour s'exécuter automatiquement au prochain démarrage, puis copie dans le répertoire Système et exécute le fichier WQK.EXE correspondant au virus ElKern. Klez.E extrait ensuite les adresses emails contenues dans les carnets d'adresses Windows et ICQ pour s'envoyer automatiquement à certains correspondants avec son propre serveur SMTP, en utilisant généralement une fausse adresse email d'expéditeur piochée dans une liste pré-établie : pw246@xxxxxxxxxxxx queen@xxxxxxxxxxxx yaya@xxxxxxxxxx atoz@xxxxxxxx anti@xxxxxxxxxxxx graph@xxxxxxxxxxxx street@xxxxxxxxxxx sani@xxxxxxxx santurn@xxxxxxxxxxx andy@xxxxxxxxxxx little@xxxxxxxxx gigi@xxxxxxxxxxxx bet@xxxxxxxxxxxx lily@xxxxxxxxx sun@xxxxxxxxxxx linda@xxxxxxxxxxx raise@xxxxxxxxxx rainrainman@xxxxxxxxxxxx karala@xxxxxxxxxxxx sammychen@xxxxxxxxxx flywind@xxxxxxxxxx suck@xxxxxxxxxx urlove@xxxxxxxxxx tutu@xxxxxxxxx cheu@xxxxxxxx xyz@xxxxxxxx pet@xxxxxxxx girl@xxxxxxxxxxxxxx littlecat@xxxxxxxxxxxx panshugang@xxxxxxxxxxx pipti@xxxxxxxx certpass@xxxxxxxx powerhero@xxxxxxx CR7269CH@xxxxxxxx RUBENSOTOAGUI@xxxxxxxx ACAMDR@xxxxxxxx ol-petech@terra. es ROSANAMOLTO@xxxxxxxx MANUEL23@xxxxxxxx cristian_soto@xxxxxxxx carlos_nuevo@xxxxxxxx Klez.E se propage le cas échéant via les dossiers partagés, puis désactive et tente d'éliminer certains antivirus et firewalls, en supprimant les clés de base de registres et répertoires correspondants : _AVP32 _AVPCC NOD32 NPSSVC NRESQ32 NSCHED32 NSCHEDNT NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32 NAVRUNR NAVW32 _AVPM ALERTSVC AMON AVP32 AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95 ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98 AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95 CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton Mcafee Antivir TASKMGR2 Enfin, le 6 de chaque mois impair (Janvier, Mars, Mai, Juillet, Septembre, Novembre) le virus Klez.E écrase les principaux fichiers de données du disque dur (TXT, HTM, HTML, WAB, DOC, XLS, CPP, C, PAS, MPEG, MPG, BAK, MP3, et JPG) de manière à ce que leur contenu ne soit plus récupérable. Pour s'en préserver, il faut s'assurer être à jour dans ses correctifs sécurité et supprimer le mail dès son arrivée dans la boîte de réception. L'utilitaire de désinfection ci-dessous permet de rechercher et d'éliminer Klez.A, Klez.B, Klez.C et Klez.E. Une variante de Klez.E est en circulation depuis le 17/04/02 sous le nom Klez.H. Capable de se propager également par email et via les dossiers partagés, elle copie puis exécute une nouvelle version du virus Elkern (Elkern.C) sous un nom aléatoire. --->>> Shaka( Rudy) HelPC list owner shaka.rudy@xxxxxxxxx