W32/Klez.E  
 
 
ALIAS: I-Worm.Klez.E, Stemdil, Elkern
TYPE: ver e-mail, virus compagnon, très destructeur
DECOUVERT: octobre 2001 pour la 1ère version (Klez ou Klez.A), 17 janvier 2002 pour la version E, la plus courante  
 
 
description rapide :
Klez.E se propage d'un ordinateur à l'autre par courrier électronique. Il envoie des mails avec un objet et un corps de message aléatoires. Ils ont en général 2 pièces jointes : un fichier infecté, et un fichier normal (image ou page web).
Si le destinataire clique sur le fichier infecté, Klez s'installe sur l'ordinateur. Il infecte les applications installées, désactive la plupart des anti-virus, et se copie sur le réseau local s'il y en a un. Le 6 des mois impairs (janvier, mars, etc), il efface tous les fichiers du disque dur.
De plus, il installe un autre virus, Elkern, qui vit ensuite sa propre vie.  
 
détails techniques :
Une fois installé sur une machine, Klez lit le carnet d'adresses de Windows et d'ICQ (logiciel de chat) et les pages web qu'il peut trouver, et envoie un courrier infecté à toutes ces adresses. Il a son propre logiciel de courrier intégré, donc il n'a pas besoin d'Outlook pour envoyer ses messages. Le sujet des mails envoyés est aléatoire, le corps des messages aussi.  
 
Côté destinataire, le mail reçu est formé de façon à utiliser un bug de certaines versions d'Outlook, de manière à s'installer sur l'ordinateur du destinataire dès que le mail est ouvert, sans que l'utilisateur clique sur le fichier attaché. C'est exactement le même principe que Nimda et Badtrans.B.  
 
Détails sur ce bug, sur le site de Microsoft (en anglais) :
http://www.microsoft.com/windows/i [...] efault.asp
 
Pour les happy few qui utilisent un autre logiciel de courrier qu'Outlook (ou une version récente ou patchée), Klez.E ne s'installe que si on clique sur le fichier attaché (normal, quoi).
 
Si Klez réussit à s'installer, il se copie dans le dossier système de Windows, avec un nom qui commence par Wink, par exemple Winkad.exe. Ensuite il cherche les applications installées, et se copie à la place de leur exécutable. L'exécutable original est conservé, caché.
Ensuite s'il trouve un réseau local, il se copie sur chaque partage dans 2 fichiers : un exécutable et une archive RAR qui contient le fichier du virus. A chaque fois, le nom de fichier est aléatoire, Klez peut même reprendre un nom de fichier trouvé sur la machine infectée.  
 
Klez est aussi agressif, puisqu'il cherche à désactiver les anti-virus les plus connus : il les "éteint" s'ils sont actifs en mémoire, puis il modifie le registre pour les empêcher de se relancer au démarrage suivant. Il efface aussi les bases de données de certains contrôleurs d'intégrité.  
 
Le 6 des mois impairs (janvier, mars, etc), il efface tous les fichiers du disque dur, d'une manière qui les rend irrécupérables.  
 
Et pour terminer, il installe au autre virus, Elkern, qu'il emmène avec lui. Ce second virus vit ensuite sa propre vie, indépendamment de Klez.  
 
Il est illusoire d'espérer désinfecter manuellement une machine, il faut utiliser un vrai anti-virus (c'est fait pour), ou un utilitaire de désinfection comme celui qu'on peut trouver ici.  
 
Dans les messages infectés, l'adresse de l'expéditeur est généralement fausse. Inutile de répondre à un message infecté pour prévenir la personne, l'expéditeur indiqué n'est pas le bon.