|
|
Sécurité |
Quelques
clefs pour mieux comprendre les Klez, et pour se protéger |
Selon l'observatoire temps réel de Trend Micro, la France est de loin le pays d'Europe le plus atteint par les infections des variantes E et H de ce ver marié avec un virus, Elkern. L'heure n'est plus à la description, mais à l'éradication. (Lundi
29 avril 2002) |
|
Voir aussi le dossier:
Virus,
l'actualité de la menace
Depuis SirCam, nous n'avions pas
reçu à la rédaction de JDNet Solutions
un aussi grand nombre d'e-mails vérolés
que ces derniers jours. Le principal fautif ? La famille
des Klez - E, G et H en tête - loin devant tous
les autres (lire nos articles du 19
avril et du 23
avril). BadTrans.B et les variantes des sept nains
de Hybris sont encore assez présents. La seconde
de ces deux séries noires a débuté,
rappelons-le, en septembre 2000 aux Etats-Unis. Quant
aux Klez, l'original n'est pas non plus de la première
fraîcheur puisque l'éditeur d'outils de sécurité
Symantec
déclare le bloquer depuis le 9 novembre 2001. Compte
tenu de l'ampleur de la propagation, ce dernier a encore
augmenté vendredi son indice de risque de 3 à
4 sur une échelle de 5.
Surpris par l'ampleur de la propagation, nous avons donc
été consulter l'observatoire
en ligne des infections en temps réel répertoriées
par zones géographiques, mis à la disposition
de l'internaute par l'éditeur concurrent Trend
Micro.
Le
résultat ne s'est pas fait attendre: la France
apparaît de loin le pays le plus touché d'Europe
par deux variantes de Klez principalement, la E et surtout
la H. Pour cette dernière, l'éditeur avait
répertorié vendredi vers 16h00 environ 650 infections
dans l'Hexagone, soit plus de deux fois le nombre de celles
constatées dans les Pays-Bas qui suivent juste
derrière. A la rédaction, nous avons reçu
un grand nombre de Klez.G. Sur la fiche
descriptive de Trend Micro, celui-ci mentionne qu'il
s'agit d'une variante de la H, et il ne serait pas étonnant
qu'elle ait été répertoriée
ainsi.
Klez.E, de son côté, était redescendu
vers 18h00 derrière SirCam (440 infections en France)
dont la première apparition date de juillet 2001.
Ces données montrent bien que ce n'est pas forcément
parce qu'un virus est récent qu'il est le plus
répandu.
Ne pas
hésiter à réclamer l'aide d'un technicien
Dans l'optique de vous à réduire
le nombre de ces infections par Klez et ses variantes,
voici donc quelques clefs fournies en partie par les deux
éditeurs déjà cités. Ceux
qui sont déjà équipés de leurs
anti-virus, ou d'un autre (McAfee,
F-Secure,
Kaspersky,
Sophos,
Panda...)
sont a priori déjà protégés
si leur base de signatures est à jour. Dans le
cas contraire, les supports et hotlines de ces éditeurs
sont à la disposition de leurs clients respectifs.
Car une fois installé et actif sur l'ordinateur
cible, Klez.H désactive les processus d'une impressionnante
liste d'anti-virus dont ceux mentionnés ci-dessus.
Autrement, les personnes qui souhaiteraient rétablir
leur système en se débarrassant de Klez
à la main peuvent suivre les instructions sur les
fiches de ces différents éditeurs. Attention,
cette procédure demande quelques connaissances
techniques, et si vous craignez une fausse manipulation,
mieux vaut vous reporter vers le support ou vous faire
aider par un technicien. Si vous êtes un utilisateur
professionnel en entreprise, le mieux est de prévenir
tout de suite votre helpdesk ou le technicien le plus
proche. Rappelons que tout comme SirCam, Klez établit
la liste des lecteurs partagés pour se propager
silencieusement d'un PC à l'autre sur un réseau
interne. Par exemple, cliquez
ici pour lire les indications de Sophos portant sur la
suppression de fichiers infectés quel que soit
le virus ou le système d'exploitation. Des explications
plus précises pour une désinfection manuelle
figurent dans les fiches de l'encyclopédie de Trend
Micro correspondant à chaque variante de Klez.
Prévenir le véritable
expéditeur qu'il est infecté
Pour éxécuter la pièce
jointe sans intervention humaine, ce ver s'appuie sur
une vulnérabilité
d'Internet Explorer 5.01 et 5.5 découverte
en mars 2001. Microsoft fournit depuis cette date un correctif
qu'il n'est jamais trop tard pour installer. Et le plus
tôt sera le mieux. L'évolution vers Explorer
6.0 est possible, mais l'éditeur précise
qu'il faut opter pour une installation complète
ou standard, et non personnalisée.
Enfin, comme vous le savez peut-être, l'un des caractères
les plus originaux des Klez est de faire croire à
la personne qui reçoit le message qu'il a été
envoyé par un expéditeur qui n'est pas le
bon. Le plus souvent, celui-ci n'est même pas infecté.
Si vous êtes protégé de manière
efficace par un antivirus, sans crainte d'être touché
à votre tour, Outlook vous permet d'en savoir plus
sur le véritable envoyeur dont le PC est inévitablement
contaminé, en consultant l'entête du message.
Pour Outlook 2000
:
- cliquez sur le message
incriminé pour le faire apparaître à
l'écran dans la fenêtre principale du client
de messagerie;
- cliquez une deuxième fois sur le message qui
est à présent surligné, mais avec
le bouton droit de la souris;
- sélectionnez Options à la fin du menu
déroulant: une fenêtre s'ouvre;
- dans la zone "En-têtes Internet" en
bas de la fenêtre apparaît un texte. La première
ligne de code commence par "Return-path:", et
est suivie d'une adresse e-mail entre crochets. Il s'agit
de celle du véritable expéditeur.
Pour Outlook Express :
- répéter les deux premières opérations
ci-dessus;
- sélectionnez Propriétés à
la fin du menu déroulant: une fenêtre s'ouvre;
- cliquez sur l'onglet Détail;
- à la fin de la première ligne qui commence
par "From:" apparaît l'adresse email du
véritable expéditeur.
Vous pouvez donc prévenir cette personne qu'elle
doit se protéger, et participer au recul de la
contamination. En procédant ainsi, vous devriez
également réduire le flux de messages infectés
arrivant dans votre boîte de réception. Une
logique gagnante pour tous, et qui ne demande que quelques
minutes tout au plus. Deux ou trois de perdues, dirons
certains, mais peut-être des heures de gagnées
chez d'autres, qui auront échappé grâce
à vous à l'épidémie Klez.
Voir aussi le dossier:
Virus,
l'actualité de la menace
|
|
|