Enigme: Klez non conforme a description

Le
Jeff Mevel
Bonsoir à tous

Résumé: Klez.e est detecté par un moniteur (antivir PE) mais
impossible à localiser avec un scan (antivir, F-Prot) ou avec
des désinfectants (clrav Kaspersky, stinger Mac Afee,
fixklez Symantec).

Détails:
Tout d'abord ceci est plus une énigme qu'un problème. La
machine appartient à une amie qui m'a mandaté pour l'installer.
Je n'y ai donc qu'un accès épisodique.
Cette machine a été rachetée à une société avc les logiciels
installés. J'ai désinstallé certains logiciels, supprimé les partages
réseaux, installé une connexion internet, un pare-feu (look'n
stop lite) et antivir, puis mis à jour ce que je pouvais (antivir
et W98). L'usage de cette machine est principalement
ludique avec aucune données importantes dessus.

L'utilisatrice m'a rapportée l'activation du moniteur le 16 mars.
J'ai reproduit le lendemain cette activation: Klez.e détecté dans
8 fichiers .tmp situés dans c:/windows/temp . Suppression des
fichiers, redémarrage en mode sans échec, scan avec antivir: RAS.
Redémarrage sur disquette saine W98 et F-Prot à jour: RAS.
Le surlendemain je reviens avec 3 fix sur disquette protégée en
écriture (clrav Kaspersky, stinger Mac Afee, fixklez Symantec).
Je suis les procédures d'utilisation: RAS (Rien A Signaler). Je
redémarre en mode normal et après 5 minutes alerte du moniteur:
Klez.e sur toujours le même type de fichiers (.tmp). Je redémarre
en mode sans échec, regedit, je recherche les clés
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrent VersionRun de type wink : aucune occurence.
L'ordinateur ne contenant pas de données importantes, je décide
de supprimer le moniteur et de voir les effets après quelques jours
d'utilisation. Apres une semaine qui a comporté 5 démarrages, je
démarre normalement et je lance le fix Kaspersky quelques
minutes: il me supprime un fichier unique .tmp (Klez.e) dans
C:/windows/temp et ne me donne aucune autre information.
Je réactive le moniteur antivir et les mêmes symptômes
réapparaissent: détection et suppression de quelques fichiers .tmp
puis plus rien jusqu'à l'extinction de la machine.
Scans stériles (y compris avec AV en ligne: Trend).

Je me pose les questions suivantes:
* L'utilisatrice ne souvient pas avoir utilisé la machine entre le 13
et le 16 mars. Il me semble avoir lu que Klez s'activait le 13 mars
donc cela serait bien en faveur de Klez.
* Les fichiers .tmp possédant la signature Klez sont bien construits
par un executable et éventuellement un fichier de données: pourquoi
aucun fichier n'est détecté au scan ?
(options tous fichiers et décompression activées)
* Le mode de réplication documenté par Symantec ne fait pas état
de fichiers .tmp
* Le code détecté ne pourrait-il venir d'une autre base de signatures
virales: Norton AV était installé, j'ai désactivé le moniteur avant
l'installation d'antivir et il ne parait pas actif.
(je ne peux le desinstaller car la société vendeuse de la machine est
incapable de nous fournir le code nécessaire à la désinstallation.
Si quelqu'un peut me donner un lien ou une astuce, il me paraît logique
qu'elle ne soit pas dispo sur le site de l'éditeur car ce code est censé
prévenir une désinstallation sauvage par l'utilisateur)
* Peut-on trouver des infections "décapitées" comme dans le monde
biologique ? (par exemple avec un code de réplication actif et incorporé
à un éxecutable mais avec une payload altérée ou un code de réplication
altéré qui aboutit à une impasse)
* Peut-être n'ai-je rien compris à Klez-Elkern. Dans ce cas-là, veuillez
accepter mes humbles excuses pour la longue lecture que je vous ai
fournie.

Dans tous les cas, je suis ouvert à toute suggestions sur ce cas qui attise
ma curiosité mais qui est loin d'être critique (machine ludique isolée
sans données importantes).

Merci de m'avoir lu jusqu'ici

PS: je reposte car je ne retrouve pas mon post sur news.free.fr le
lendemain. J'ai néanmoins pu le lire sur news.club-internet.fr avec
slrn et un terminal 80 colonnes: pagination abominable.
Je ne suis pas habitué à poster depuis OE, j'ai essayé de corriger
le tir.
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jeff Mevel
Le #1499105
"joke0" news:

As-tu fais ces scans restauration système automatique désactivée?

W98SE: pas de restauration. C'est la diète ;-)


joke0
Le #1497065
Salut,

Jeff Mevel:
Résumé: Klez.e est detecté par un moniteur (antivir PE) mais
impossible à localiser avec un scan


Désactiver AntivirPE est récupérer un de ses fameux fichiers
.tmp

A-t-elle des partages réseaux (notamment du répertoire temp)?

il me supprime un fichier unique
.tmp (Klez.e) dans C:/windows/temp et ne me donne aucune autre
information.


Fais parvenir une copie de ce Klez à un éditeurs antivirus ou à
moi (virer _NOSWEN de l'adresse) des fois qu'il serait atypique
(où trafiqué):
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a9.3

* Les fichiers .tmp possédant la signature Klez sont bien
construits par un executable et éventuellement un fichier de
données: pourquoi aucun fichier n'est détecté au scan ?


Parce qu'il n'est pas localisé sur sa machine pour cause de
réseau?

Merci de m'avoir lu jusqu'ici


De rien.

--
joke0

Jeff Mevel
Le #1497059
"joke0" de news:
Salut,

A-t-elle des partages réseaux (notamment du répertoire temp)?

Non, j'ai desactive les partages et cette machine n'est pas en reseau.


Fais parvenir une copie de ce Klez à un éditeurs antivirus ou à
moi (virer _NOSWEN de l'adresse) des fois qu'il serait atypique
(où trafiqué):

J'avais deja fait une copie de 8 fichiers .tmp sur une disquette, mais

je ne la retrouve pas :-)
Demain soir je reproduit le phenomene et je t'en fait parvenir un zip.

Parce qu'il n'est pas localisé sur sa machine pour cause de
réseau?


Pas de reseau, juste internet et phenomene reproductible modem
eteint.

Merci pour ta reponse

joke0
Le #1112622
Salut,

Jeff Mevel:
Pas de reseau, juste internet et phenomene reproductible modem
eteint.


As-tu fais ces scans restauration système automatique désactivée?

--
joke0

Ascadix
Le #1113314
De ses petits doigts agiles, Jeff Mevel à provoqué l'apparition de
l'histoire que voici :

"joke0" news:

As-tu fais ces scans restauration système automatique désactivée?

W98SE: pas de restauration. c'est la diète ;-)



Coté virus ...

Tente le coup d'en envoyer un ici pour voir

http://www.kaspersky.com/remoteviruschk.html


Pour NAV .. les problemes de déinstallation étant une seconde nature de ce
produit, la FAQ de symantec en parle, notament à partir de cette page:
http://service1.symantec.com/SUPPORT/nav.nsf/docid/2001061911223206?Open&srcºr_sch_nam&docid98081311020806&nsf=nav.nsf&viewß0a595864594c86852567ac0063608c&dtype=&prod=&ver=&osv=&osv_lvl
( lien racourci : http://minilien.com/?v6qCDYw9x9 )


--
@+
Ascadix
Adresse @mail valide ... mais pour que le mail arrive, ajoutez "sesame" dans
l'objet :-)


Jeff Mevel
Le #1113176
"Ascadix" de news:c4kgda$eku$

Bonsoir,

Coté virus ...

Tente le coup d'en envoyer un ici pour voir

http://www.kaspersky.com/remoteviruschk.html


Le site Kaspersky me repond "mistake: scanning is not completed"
que ce soit pour un fichier ou pour le zip des 20 fichiers .tmp
générés à chaque démarrage.

Pour NAV .. les problemes de déinstallation étant une seconde nature de ce
produit, la FAQ de symantec en parle, notament à partir de cette page:
[...]


Je connais les procédures de désinstallation standard de Norton. J'ai
utilisé
pendant une année Norton Internet Security. Bizarrement c'est la
desinstallation qui s'est passée le mieux. Mais la version de NAV
installée sur cette machine doit être une version entreprise ou corporate.
Un mot de passe introuvable est demandé à la desinstallation propre.
Il me faudrait connaitre les fichiers à supprimer et les clés du registres à
supprimer ou modifier.

Merci pour ton post

joke0
Le #1113037
Salut,

Jeff Mevel:
A-t-elle des partages réseaux (notamment du répertoire temp)?


Non, j'ai desactive les partages et cette machine n'est pas en
reseau.


Donc Win98 sans NetBios.

J'avais deja fait une copie de 8 fichiers .tmp sur une
disquette, mais je ne la retrouve pas :-)
Demain soir je reproduit le phenomene et je t'en fait parvenir
un zip.


Ok, j'ai reçu. Les exemplaires ne sont pas identiques, mais
c'est normal, Klez.e posséde une partie encryptée. Ils sont
néanmoins conformes.

Il y a aussi la partie keylogger d'un ver Tanatos.a ou b (aka
Bugbear.A ou B) détecté par VirusScan en tant que
"W32/Bugbear.b.dll".

Pas de reseau, juste internet et phenomene reproductible modem
eteint.


J'ai l'impression que ces vers sont crées par la messagerie.
Quelle version d'Outlook Express est utilisée? une 5.5? Win98
est-il à jour? Klez exploite une des nombreuses failles de cette
messagerie:
http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx

C'est patché?

Il faut virer les emails vérolés dont les titres sont faciles à
repérer (cf un description de Klez.e).

Une autre possibilité serait qu'un Klez.e soit droppé (largué)
par un programme fréquemment utilisé.

--
joke0


Ascadix
Le #1113036
De ses petits doigts agiles, Jeff Mevel à provoqué l'apparition de
l'histoire que voici :

"Ascadix" de news:c4kgda$eku$

Bonsoir,

Coté virus ...

Tente le coup d'en envoyer un ici pour voir

http://www.kaspersky.com/remoteviruschk.html


Le site Kaspersky me repond "mistake: scanning is not completed"
que ce soit pour un fichier ou pour le zip des 20 fichiers .tmp
générés à chaque démarrage.


Domage .. en fait je t'envoyais précisement chez kasper car ils ont
développé une base en extra justement dédié à la detection et à la finition
des CIH mal/partiellement netoyé par d'autre AV.
http://www.kaspersky.com/fr/support.html?chapter•0166
Mais vu le résultat .. on ne peut pas conclure grand chose.

Tu pourais m'envoyer le ZIP avec les 20 trucs dedans ?

Pour NAV .. les problemes de déinstallation étant une seconde nature
de ce produit, la FAQ de symantec en parle, notament à partir de
cette page: [...]


Je connais les procédures de désinstallation standard de Norton. J'ai
utilisé
pendant une année Norton Internet Security. Bizarrement c'est la
desinstallation qui s'est passée le mieux.


Coup de chance :-)

Mais la version de NAV
installée sur cette machine doit être une version entreprise ou
corporate. Un mot de passe introuvable est demandé à la
desinstallation propre.


Normal, il y a ça sur quasiment tout les AV pro.

Il me faudrait connaitre les fichiers à supprimer et les clés du
registres à supprimer ou modifier.


Puis-je dans ce cas me permettre d'insister
...http://minilien.com/?v6qCDYw9x9

regarde en bas de la page, les liens vers les procédure d'élimination
manuelle ( arret de services, effacement de fichiers et netoyage de la BdR)
des différentes versions de NAV, grand public ou "corporate".
C'est long à lire .. mais perso, j'ai eu à virer manuellement du corporate
7.5 ( because source d'install indisponibles pour une déinstallation auto )
et ça marche.

Merci pour ton post


C'est un plaisir :-)

--
@+
Ascadix
Adresse @mail valide ... mais pour que le mail arrive, ajoutez "sesame" dans
l'objet :-)


Jeff Mevel
Le #1112765
"Ascadix" de news:c4kr6j$pht$

Puis-je dans ce cas me permettre d'insister
...http://minilien.com/?v6qCDYw9x9

regarde en bas de la page, les liens vers les procédure d'élimination


oups!

Désolé, je n'avais pas tilté sur ces liens manuels.

Merci

Jeff Mevel
Le #1112764
"joke0" news:

J'ai l'impression que ces vers sont crées par la messagerie.
Quelle version d'Outlook Express est utilisée? une 5.5? Win98
est-il à jour? Klez exploite une des nombreuses failles de cette
messagerie:
http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx

C'est patché?


J'ai mis à jour le système avec windowsupdate. Je suppose donc que
OE est le dernier dispo. Je vérifierai.

Il faut virer les emails vérolés dont les titres sont faciles à
repérer (cf un description de Klez.e).


Je vais faire le ménage. Mais comme ce n'est pas ma machine, je n'ai
pas encore ouvert OE. Si l'application OE n'est pas lançée, comment
des messages vérolés pourraient générer des fichiers .tmp ?

Une autre possibilité serait qu'un Klez.e soit droppé (largué)
par un programme fréquemment utilisé.


Cela me parait le plus plausible, mais comment le trouver ?
A midi, j'ai relançé un scan F-Prot Dos à partir d'une disquette de
démarrage saine: 4 fichiers tmp avec la signature de Klez. Ils ont
du être générés ce matin par des arrêts cafetière (au moins un arrêt
avoué par impatience devant les écrans bleus du moniteur). Mais
toujours pas d'executable détecté.

Merci pour les idées

Publicité
Poster une réponse
Anonyme