Le virus Klez.I commence à causer des incidents

Panda Software a reçu les premiers rapports d’incidents causés par le virus Klez.I, à travers son réseau international de support technique. Etant donné la vitesse de propagation de ce ver, Panda Software recommande aux utilisateurs de prendre des précautions pour éviter de devenir une victime de ce virus.

Klez.I est conçu pour se propager rapidement par le courrier électronique. Les victimes reçoivent un e-mail avec deux fichiers attachés. L’un de ces fichiers a un nom variable qui comprend trois chiffres et quatre lettres et l’extension PIF, BAT, EXE ou SCR. Le second fichier peut avoir n’importe laquelle des extensions suivantes : .txt., htm,.html, .wab, .asp, .doc, .rtf, .xls,.jpg,.cpp, .c, .pas, .mpg, .mpeg, .bak, .mp3, .mp8, .pdf.

L’objet et le texte du message e-mail contenant le virus sont variables, les deux étant choisis parmi les les nombreuses possibilités d’une liste d’options. Des informations plus complètes à cet égard sont disponibles sur : http://service.pandasoftware.es/library/virusCard.jsp?Virus=W32/Klez.I.

Si le virus Klez.I s’exécute, que ce soit à cause d’une vulnérabilité connue dans Microsoft Internet Explorer ou bien parce que la victime clique sur le fichier contenant le ver, celui-ci s’envoie par l’intermédiaire d’une connexion SMTP à toutes les entrées du carnet d’adresses de Windows et à d’autres adresses dans l’ordinateur. Il est aussi capable de changer l’adresse de l’expéditeur en n’importe laquelle des adresses trouvées sur le système, de sorte que l’expéditeur apparent dans un message reçu contenant ce virus n’est pas nécessairement l’expéditeur réel.

En outre, le ver crée un fichier appelé WINK*.EXE dans le répertoire système de Windows. Ce fichier est en réalité une copie du ver lui-même. Il crée un autre fichier avec un nom choisi au hasard dans le dossier des programmes, lequel est en réalité un virus appelé W32/Elkern.C, qui infecte des fichiers exécutables (PE) dans l’ordinateur.

En plus, Klez.I peut terminer certains processus qui sont actuellement en mémoire, et il affectera la fonctionnalité de certaines applications, y compris certains programmes antivirus. Cependant, les solutions antivirus de Panda Software n’en sont pas affectées.

Finalement, le ver crée une entrée dans la base de registres de Windows, afin d’assurer son exécution à chaque démarrage du système.

Les solutions de Panda Software détectent et éliminent Klez.I et l’entreprise recommande aux utilisateurs de mettre leurs antivirus à jour immédiatement à partir de son site web : http://www.pandasoftware.com.

Les utilisateurs dont les ordinateurs auraient été affectés par Klez.I peuvent télécharger l’utilitaire gratuit de désinfection PQREMOVE à l’adresse suivante : http://service.pandasoftware.es/library/virusCard.jsp?Virus=W32/Klez.I , où se trouvent également des informations détaillées (en anglais) sur ce virus.

Enfin, Panda Software recommande aux utilisateurs d’appliquer le correctif de sécurité fourni par Microsoft, qui répare la vulnérabilité exploitée par le virus. Ce correctif peut être téléchargé à l’adresse suivante: http://www.microsoft.com/technet/security/bulletin/MS01-020.ASP.

A propos du laboratoire de virus de Panda Software

Dès réception d’un fichier susceptible d’avoir été infecté, le staff technique de Panda Software se met au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l’analyse de macro, l’analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l’antidote est préparé et distribué aux utilisateurs dans les 24 heures.

Pour plus d’informations :

Panda Software
François Schächter
fschachter@pandasoftware.com.fr
01 30 06 15 15