Différentes versions du virus Klez circulent depuis l’automne dernier. La plus récente, Klez.E date de la mi-janvier. Cependant, aujourd’hui est un jour particulier. En effet, c’est la première fois que la partie la plus destructrice de Klez.E entre en action.Klez.E est prévu pour s’activer le 6e jour des mois impairs (janvier, mars, mai, etc.). Il écrase alors les fichiers portant un certain type d’extension (.htm, .doc, .jpg, .mp3, mpeg,…). Janvier et juillet bénéficient d’un ” traitement de faveur ” : ces mois-là, il ne fait plus dans la dentelle et écrase tous les fichiers présents sur l’ordinateur.Le virus arrive par e-mail, et se révèle difficile à repérer : le sujet et le texte du message sont composés de façon aléatoire, à partir d’une liste de mots en anglais. Certaines combinaisons sont spécialement retorses.L’une d’entre elles présente le fichier attaché comme une protection contre W32.Elkern ou W32.Klez, les deux noms utilisés par l’auteur du virus.Une autre variante ressemble à un message de l’administrateur réseau, signalant un problème lors de l’envoi d’un e-mail. L’internaute le recevant sera donc tenté de l’ouvrir pour voir quel est l’e-mail concerné.Or, Klez fait partie des virus, comme Nimda, qui peuvent s’exécuter automatiquement à l’ouverture de l’e-mail, sans même que la victime choisisse d’ouvrir la pièce jointe.Il profite pour cela d’une faille bien connue d’Internet Explorer dans les versions 5.01 et 5.5, dont le correctif est disponible depuis mars 2001 sur le site de Microsoft.Les internautes qui utilisent une version plus récente d’Internet Explorer sont à l’abri de cette faille mais restent exposés, s’ils ouvrent la pièce jointe au mail.Lorsque le virus est déclenché, il se renvoie par e-mail à toutes les adresses qu’il trouve dans le carnet d’adresses de Windows, dans celui d’ICQ ou dans les pages Web situées dans le cache d’Internet Explorer.Ensuite, ” il se cache sur le disque dur ou sur des disques partagés d’un réseau en empruntant le nom de fichiers existants. Les originaux sont renommés et modifiés. C’est ce que l’on appelle un virus compagnon “, précise François Paget, expert sécurité de Netwok Associates.Ainsi placé en embuscade, il n’a plus qu’à attendre qu’un utilisateur l’ouvre, pour se propager à nouveau. “Les risques de contamination sont donc doubles : par e-mail à travers les disques partagés”, explique Marc Blanchard, directeur du Laboratoire TrendLabs, de Trend Micro.Enfin, pour faciliter sa tâche, Klez désactive les antivirus. Mais Klez n’est pas que méchant, il n’est pas non plus partageur. En effet, il s’attaque aux autres virus présents sur la machine qu’il infecte.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
