"W32.Klez.H@mm" ou ""W32.Klez.E@mm"

W32.Klez.H@mm apparu en avril 2002 est une variante du ver W32.Klez.E@mm. Cette variante se propage par e-mail et par partage réseau. Il peut infecter des fichiers.

Existe depuis mi-avril 2002. Premières attaques constatées dans la boîte de l'association : Janvier 2003.

Description technique :  

Type       : worm (ver)
Nuisance : moyenne
Diffusion : très grande.

Le message électronique arrive avec ou sans sujet,  et ne possède ni nom de fichier ni corps de message particuliers. Pour être infecté, l’utilisateur doit cliquer sur la pièce jointe sauf si la version d’Outlook Express ou de Microsoft Outlook utilisée n’a pas été correctement patchée contre la faille MIME connue (voir site Microsoft). A ce moment là, l’infection se propage à l’ouverture ou à la pré-visualisation de l’e-mail.

Dommages engendrés : 

Quand le ver est exécuté, il recherche le répertoire système de Windows et s’insère sous forme de fichier au nom aléatoire dans ce répertoire pour qu’il se lance au démarrage de Windows. Ce ver essaiera de désactiver les logiciels antivirus en arrêtant les procédés ainsi que certains virus précédemment installés (tels que W32.Nimda et CodeRed). Ce ver recherche les répertoires d’adresses de Windows, les bases de données ICQ et les fichiers locaux pour trouver des adresses mail. Puis, le ver utilise ces adresses pour se propager en tant que pièce jointe. Le ver va choisir au hasard sur le disque dur de la machine victime un fichier à envoyer qui peut éventuellement contenir des informations confidentielles. Ainsi, les fichiers avec les extensions ".mp8" ou ".txt" ou ".htm" ou ".html" ou ".wab" ou ".asp" ou ".doc" ou ".rtf" ou ".xls" ou ".jpg" ou ".cpp" ou ".pas" ou ".mpg" ou ".mpeg" ou ".bak" ou ".mp3" ou ".pdf" seront joints aux messages électroniques accompagnés du ver. Typiquement pour la version"H" du virus, le message arrivera avec deux pièces jointes : la première contenant le ver, la deuxième le fichier pris au hasard.

Note IMPORTANTE pour les utilisateurs de Windows Millenium et XP Editions  

Pour que la désinfection soit complète, les utilisateurs de Windows Me ou XP doivent désactiver la restauration du système avant de scanner leur disque dur.

Cliquez sur le dessin pour transférer FixKlez.zip en format "zip" l'antivirus de Symantec (recommandé)

Si vous avez été infectés nous vous conseillons d'utiliser une procédure comme suit :

• récupérez  le fichier antivirus ci-dessus sur votre disque et notez bien emplacement

• éteignez votre PC com-plè-te-ment et ATTENDEZ 30 secondes 

• redémarrez votre PC en "Safe mode" Tous les PC sous Windows versions 32 bits (excepté NT) peuvent être re-démarrés dans ce mode. Pour plus d'informations suivez ce lien "How to start the computer in Safe Mode." 

• exécutez le code antivirus à partir de son emplacement et re-démarrez normalement.

• à l'aide de votre antivirus procédez bien sûr à un contrôle au moyen d'un "scan" complet de votre disque.

Suggestion  

1/ Vérifiez si votre fournisseur d'accès (comme ce fut souvent le cas pour le virus BugBear) vous protège d'emblée du virus Klez.

2/ n'accédez pas au net sans disposer d'un antivirus à-jour 

Quoiqu'il en soit restez prudents!