W32/Klez-H

Veuillez suivre les instructions de suppression des vers.

Veuillez lire les instructions pour supprimer W32/ElKern-C et W32/Klez-H.

Remarque : W32/Klez-H est capable de se progager en utilisant une adresse e-mail de Sophos falsifiée. Bien entendu, Sophos n'a pas envoyé ces e-mails et n'a pas été infecté par ce ver. Vous pouvez lire plus d'informations ici (en anglais).

W32/Klez-H est détecté par la version 3.55 et supérieure de Sophos Anti-Virus comme étant W32/Klez-G, utilisant une technique de détection générique.

W32/Klez-H est un ver Win32 qui transporte une copie compressée du virus W32/ElKern-C qu'il place dans le répertoire Program Files et qu'il exécute.

W32/Klez-H se copie dans le répertoire système de Windows sous un nom de fichier aléatoire. Le nom de fichier commencera par les caractères "wink" et aura l'extension EXE.

Le ver recherche des adresses e-mail dans le carnet d'adresses de Windows et dans les fichiers avec les extensions TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3 et PDF.

Le champs "De :" du message e-mail contiendra soit une adresse trouvées lors de la recherche ou une adresse prise dans une liste présente dans le corps du virus.

Le ver s'envoie en utilisant les e-mails avec les caractéristiques suivantes :

Objet :
L'objet est créé aléartoirement en utilisant l'une des règles suivantes .

1.
Une combinaison de "Hi,", "Hello," "Re:", "Fw:", ou rien

avec

"Very" ou "special" comme premier mot

et

"New", "funny", "nice", "humour", "excite", "good", "powful", "WinXP" ou "IE 6.0" comme second mot, arrangé dans l'une des phrases suivantes :

"A %s %s game."
"A %s %s tool."
"A %s %s website."
"A %s %s patch."

par ex. "A special powful tool"

2.
Une combinaison de "W32.Elkern" ou "W32.Klez.E" et de "removal tools".

par ex. "W32.Klez.E removal tools"

3.
L'un des objet choisi parmi la liste suivante :

how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
Sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures
Undeliverable mail --
Returned mail --

4.
Worm Klez.E immunity

Corps du message :
Le message est composé aléatoirement par le ver et peut être blanc.

Si l'objet est "Worm Klez.E immunity", le message est alors "Klez.E is the most common world-wide spreading worm. It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me."

Pièce jointe :
Nommée aléatoirement avec l'extension PIF, SCR, EXE ou BAT.

Comme le ver utilise son propre moteur SMTP, le message peut sembler provenir de n'importe quelle adresse e-mail. Certains des messages auront un champs expéditeur et un corps de message qui impliquent que le message a été envoyé par un vendeur antivirus (pour les nommer Kaspersky, F-Secure, Sophos, Symantec et Trend Micro).

Le serveur SMTP utilisé pour envoyer le message utilise la valeur "SMTP Server" de la clé de registre

HKCU\Software\Microsoft\Internet Account\Manager\Accounts

Lorsque l'e-mail est envoyé, W32/Klez-H peut joindre un fichier choisi aléatoirement à partir de l'ordinateur infecté ayant pour extension TXT, HTM, HTML, WAB, ASP, DOC, RTF, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, MP3, ou PDF. Ceci signifie que le ver peut provoquer des failles dans la confidentialité des données de l'entreprise.

W32/Klez-H essaie de désactiver plusieurs produits antivirus et de supprimer des fichiers en relation avec ceux-ci.

Le ver exploite une faille MIME et IFRAME présente dans certaines versions de Microsoft Outlook, Microsoft Outlook Express et Internet Explorer qui permet à un fichier exécutable d'être exécuté automatiquement sans que l'utilisateur ne double-clique sur la pièce jointe. Microsoft a publié un correctif contre cette faille et peut être téléchargé à partir du Bulletin de Sécurité de Microsoft MS01-027. (Ce correctif a été publié pour corriger de nombreuses failles dans le logiciel de Microsoft, incluant celle exploitée par ce ver.)

W32/Klez-H peut aussi se propager sur les partages réseau des autres machines en utilisant des noms de fichiers aléatoires. Les fichiers placés peuvent avoir une double extension formée en utilisant une combinaison des extensions choisies parmi la liste suivantes :

TXT
HTM
HTML
WAB
ASP
DOC
RTF
XLS
JPG
CPP
C
PAS
MPG
MPEG
BAK
MP3
PDF

pour la première extension et de :

PIF
SCR
EXE
BAT

pour la seconde extension

par ex. .txt.exe

W32/Klez-H ajoutera une valeur "wink<aléatoire>" dans la commande run du registre, afin que le fichier placé soir exécuté au démarrage de Windows :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

De plus, le ver essaiera de désactiver le logiciel antivirus en arrêtant n'importe lequel de ces processus,

_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F- PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR

et en supprimant ces fichiers

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMART CHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT