[helpc] Virus: Klez (= Klez.E, Klez.H)
- From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
- To: <helpc@xxxxxxxxxxxxx>
- Date: Wed, 17 Apr 2002 19:25:50 +0200
Virus
Klez (= Klez.E, Klez.H)
Klez.E est un virus qui se présente sous la forme d'un message dont le
titre, le corps et le nom du fichier attaché sont aléatoires. Parfois
accompagné d'une image, ce fichier possède une extension en .EXE, .PIF,
.COM, .BAT, .SCR ou .RAR, mais l'extention visible peut également être
.WAV ou .MID car le virus peut falsifier le content-type dans l'entête
du message (avec Outlook, la pièce jointe est alors invisible). Quelques
titres possibles :
A special new game
A special funny game
A IE 6.0 patch
A WinXP patch
Spice girls' vocal concert
Happy Lady Day
Hello,let's be friends
Run in DOS mode
How are you Let's be friends
Darling Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos! japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
Japanese lass' sexy pictures
Pretty Woman
Le virus peut également se propager sous la forme d'un faux message
d'erreur intitulé Undeliverable mail--"[titre]" ou "Returned
mail--"[titre]". Dans ce cas, le corps du message se présente sous la
forme suivante, le fichier attaché étant une copie du virus :
"The following mail can't be sent to [adresse email de la personne
infectée]:
From: [votre adresse email]
To: [adresse email de la personne infectée]
Subject: [titre]
The attachment is the original mail"
Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son
affichage dans la fenêtre de prévisualisation d'Outlook, si
l'application n'a pas été patchée contre une vulnérabilité MIME connue.
Si le fichier joint est exécuté, le virus se copie dans le répertoire
Système de Windows avec l'attribut "fichier caché" sous le nom WINK*.EXE
(où * est une chaîne de caractères aléatoire), modifie la base de
registres pour s'exécuter automatiquement au prochain démarrage, puis
copie dans le répertoire Système et exécute le fichier WQK.EXE
correspondant au virus ElKern. Klez.E extrait ensuite les adresses
emails contenues dans les carnets d'adresses Windows et ICQ pour
s'envoyer automatiquement à certains correspondants avec son propre
serveur SMTP, en utilisant généralement une fausse adresse email
d'expéditeur piochée dans une liste pré-établie :
pw246@xxxxxxxxxxxx
queen@xxxxxxxxxxxx
yaya@xxxxxxxxxx
atoz@xxxxxxxx
anti@xxxxxxxxxxxx
graph@xxxxxxxxxxxx
street@xxxxxxxxxxx
sani@xxxxxxxx
santurn@xxxxxxxxxxx
andy@xxxxxxxxxxx
little@xxxxxxxxx
gigi@xxxxxxxxxxxx
bet@xxxxxxxxxxxx
lily@xxxxxxxxx
sun@xxxxxxxxxxx
linda@xxxxxxxxxxx
raise@xxxxxxxxxx
rainrainman@xxxxxxxxxxxx
karala@xxxxxxxxxxxx
sammychen@xxxxxxxxxx
flywind@xxxxxxxxxx
suck@xxxxxxxxxx
urlove@xxxxxxxxxx
tutu@xxxxxxxxx
cheu@xxxxxxxx
xyz@xxxxxxxx
pet@xxxxxxxx
girl@xxxxxxxxxxxxxx
littlecat@xxxxxxxxxxxx
panshugang@xxxxxxxxxxx
pipti@xxxxxxxx
certpass@xxxxxxxx
powerhero@xxxxxxx
CR7269CH@xxxxxxxx
RUBENSOTOAGUI@xxxxxxxx
ACAMDR@xxxxxxxx
ol-petech@terra. es
ROSANAMOLTO@xxxxxxxx
MANUEL23@xxxxxxxx
cristian_soto@xxxxxxxx
carlos_nuevo@xxxxxxxx
Klez.E se propage le cas échéant via les dossiers partagés, puis
désactive et tente d'éliminer certains antivirus et firewalls, en
supprimant les clés de base de registres et répertoires correspondants :
_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR2
Enfin, le 6 de chaque mois impair (Janvier, Mars, Mai, Juillet,
Septembre, Novembre) le virus Klez.E écrase les principaux fichiers de
données du disque dur (TXT, HTM, HTML, WAB, DOC, XLS, CPP, C, PAS, MPEG,
MPG, BAK, MP3, et JPG) de manière à ce que leur contenu ne soit plus
récupérable.
Pour s'en préserver, il faut s'assurer être à jour dans ses correctifs
sécurité et supprimer le mail dès son arrivée dans la boîte de
réception. L'utilitaire de désinfection ci-dessous permet de rechercher
et d'éliminer Klez.A, Klez.B, Klez.C et Klez.E.
Une variante de Klez.E est en circulation depuis le 17/04/02 sous le nom
Klez.H. Capable de se propager également par email et via les dossiers
partagés, elle copie puis exécute une nouvelle version du virus Elkern
(Elkern.C) sous un nom aléatoire.
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx
Other related posts:
- » [helpc] Virus: Klez (= Klez.E, Klez.H)
