KLEZ et NORTON

daniel machu 51Messages postés 30 mars 2002Date d'inscription - Dernière réponse le 4 oct. 2002 à 23:46

Voila 2 fois en 2 mois que je me fais vérolé par KLEZ H.
ma boite aux lettres outlook express 6 est pourtant sous surveillance de norton 2001!!
comment se fait-il que cet anti-virus ne 'voit' pas les pieces jointes 'empoisonnées'??? quelqu'un a t'il son idée la dessus?
bien cordialement
daniel

KLEZ et NORTON »

Suggestions

KLEZ et NORTON
Désinstaller norton internet security » Fiches pratiques
Desinstaller norton (Résolu) » Forum
Norton antivirus » Télécharger
Comment supprimer norton (Résolu) » Forum
Norton ghost » Fiches pratiques
Comment desinstaller norton internet security (Résolu) » Forum
Supprimer norton » Forum
Norton online backup » Forum
Norton removal tool » Télécharger

Plus

Réponse

Eaulive 27258Messages postés 18 avril 2002Date d'inscription ModérateurStatut 26 août 2011Dernière intervention 2 oct. 2002 à 22:43

Est-ce que norton "live update" va télécharger les mises-à-jour des virus régulièrement (au moins une fois par semaine)?
Vérifies la date de la dernière mise à jour.

Goudeloque ;-)

Eaulive...
Vaut mieux un avion en plastique qu'un p'tit piment

Ajouter un commentaire - Site web

Réponse

ipl 5815Messages postés 8 octobre 2001Date d'inscription ModérateurStatut 3 oct. 2002 à 01:24

Bonsoir Daniel, bonsoir Eaulive, bonsoir à tous,

1-Daniel, es-tu bien sûr que le scan de la messagerie est activé ? il est si facile en voyant l'adresse de serveur pop remplacée par 127.0.0.1 d'aller rectifier... et par là d'éliminer le scan !
2-Dans la plupart des versions de NAV, c'est l'option "Exécutables seulement" qui est choisie et dans ce cas NAV va ignorer la quasi totalité des fichiers attachés !
3-Diantre ! pourquoi ouvres-tu un fichier attaché ? conduite à tenir : si çà vient d'un inconnu, envoie à la poubelle ! si c'est une connaissance, détache et scanne (gaffe à Klez) !
4-Enlève le volet de prévisualisation d'Outlook Express et en cas de doute, effectue un clic droit pour voir le texte en "texte brut" !

@12C4
Ipl

Ajouter un commentaire - Site web

Afficher les 4 commentaires

daniel machu - 4 oct. 2002 à 02:14

Merci tout d'abord de vos réponses à vous 3.
En ce qui concerne live update c'est fait régulierement, de plus klez H n'est pas un nouveau virus..
A IPL 'es-tu bien sûr que le scan de la messagerie est activé ? '
en tout cas il était activé à l'origine..aprés coup je ne peux répondre à cette question vu que cette saloperie a déglingué norton et que j'ai du le réinstaller et donc reprotéger la messagerie.

'il est si facile en voyant l'adresse de serveur pop remplacée par 127.0.0.1 d'aller rectifier... et par là d'éliminer le scan ! '
-je ne comprends pas ce que tu veux dire par la...

'Dans la plupart des versions de NAV, c'est l'option "Exécutables seulement" qui est choisie et dans ce cas NAV va ignorer la quasi totalité des fichiers attachés ! '
-Je ne trouve pas ou verifier cette option dans norton 2001...si tu pouvais m'aider..

'Diantre ! pourquoi ouvres-tu un fichier attaché ? conduite à tenir : si çà vient d'un inconnu, envoie à la poubelle ! si c'est une connaissance, détache et scanne (gaffe à Klez) ! '
Fichtre! je n'ouvre jamais un fichier inconnu, sauf que la , l'expediteur est un nouveau client à qui j'avais téléphonné la veille , donc, comme un con j'ai ouvert....et bien sûr mon client me dit qu'il ne m'a pas envoyé de message (d'ailleurs je me demande comment klez a su qu'on se connaissait, vu que nous n'avons jamais échangé de mail, et que le seul contact que j'ai eu avec lui est ce coup de tel et j'ai aussi visité son site internet. j'ajouterai qu'aprés cette attaque, j'ai à nouveau eu 2 messages vérolés hier et aujourd'hui, mais d'expéditeurs différents ), mais la, norton a fait son travail!
mais désormais je vais suivre ton conseil et scaner avant d'ouvrir!

'Enlève le volet de prévisualisation d'Outlook Express et en cas de doute, effectue un clic droit pour voir le texte en "texte brut" !
-qu'appelles tu volet de prévisualisation?'
-un clic droit sur quoi?
merci d'avance de tes précisions

En tout cas cette fois ci, heureusement y a rien de cassé et fix klez a tout éradiqué, mais la premiere fois tous mes fichiers ont été détruits le 6 du mois et c'est une cata!.

bien cordialement
daniel

BmV - 4 oct. 2002 à 11:18

C'est bien comme ça qu'agit klez ....
Il utilise le fichier d'adresses d'une machine "x" pour se propager
aux correspondants listés dans ce carnet d'adresses, sans pour
cela infecter la machine "x" (qui devient pour ainsi dire un "porteur
sain").
Il a suffit que ton correspondant te mette illico dans son carnet
d'adresses e-mail et voilà ....
Ou encore, en visitant le site tu y as peut-être laissé un cookie
qui aurait pu servir ....
Une fois encore, je conseille vivement la lecture (et l'abonnement)
secuser -> http://www.secuser.com/alertes/2002/klez.htm
Ca ne protège pas effectivement, mais ça permet d'être informé
très tôt et de prendre éventuellement des correctifs ou
d'enclencher une parade quelconque.

En tous cas, ipl, ton truc du "volet de prévisualisation" ça
m'intéresse aussi ....

=O(_BmV_)O=
|| || Le pétard à dent

BmV - 4 oct. 2002 à 11:21

OK, OK : j'ai trouvé !
Dans Outlook express : Affichage -> disposition -> décocher
"Afficher le volet de prévisualisation".

Merci qd même !

=O(_BmV_)O=
|| || Le pétard à dent

ipl › daniel machu - 4 oct. 2002 à 13:39

Suite de la discussion plus bas !

@12C4
Ipl

Réponse

BmV 48869Messages postés 24 août 2002Date d'inscription 14 février 2012Dernière intervention 3 oct. 2002 à 08:54

En plus de cela, il faut savoir que notre ami commun KLez "shunte"
et "contourne" les antivirus les plus répandus, dont Norton et
McAffee, et fait pareil avec certains firewalls.
Encore une fois, je me réfère à ce qui est décrit sur secuser.com
http://www.secuser.com/alertes/2002/klezh.htm et je répète
mon conseil de s'abonner à leur newsletter/alertes ; c'est gratuit,
ça permet de réagir au plus tôt et donc éventuellement de se
mettre à jour (même si là, en l'occurence, on dirait que ça n'aurait
peut-être servi à rien, ... mais bon).

Je ne puis que me joindre violemment à ipl quand il dit de ne
jamais ouvrir de pièce jointe d'un mail provenant
d'on ne sait où ....

Bon courage.

=O(_BmV_)O=
|| || Le pétard à dent

Ajouter un commentaire

Réponse

claude ray 3028Messages postés 13 juillet 2001Date d'inscription 30 décembre 2010Dernière intervention 4 oct. 2002 à 11:06

Bonjour à tous,
Je ne sais pas si ma modeste contribution pourra ajouter un plus à ce qui a déja été dit. Mais moi, je ne fais pas confiance à outlook express pour l'ouverture de mon courrier. Je reçois beaucoup de courriers indésirables avec des caractères bizares.Avec outlook le premier message est systématiquement ouvert. Donc jouvre mon courrier avec wanadoo. Je n'ai que les entètes des messages. En deux petites manips je vire tout ce qui est indésirable et je me sens tranquille.
Claude

Ajouter un commentaire

Réponse

ipl 5815Messages postés 8 octobre 2001Date d'inscription ModérateurStatut 4 oct. 2002 à 13:06

Bonjour daniel, bonjour à tous,

Pfui... j'ai du retard dans mes posts là !

Merci à BmV, d'avoir répondu à la question relative au volet de prévisualisation !
>Avec outlook le premier message est systématiquement ouvert.
Claude, ceci est lié au volet de prévisualisation ! Nous sommes bien d'accord que certains virus sont capables d'infecter le système rien qu'en affichant un code Html/Javascript/autre script c'est à dire qu'un site Web ou l'affichage automatique d'un e-mail reçu peut lancer l'infection -> d'où mes lignes concernant la nécessité de désactiver ce fameux volet de prévisualisation (Claude, vois ce qu'a posté BmV à ce sujet !).

Le problème vient en fait du mode de visualisation Html !
OE propose 2 modes d'affichage : Texte brut & Html... c'est le mode d'affichage Html qui permet l'infection du système !

Il convient donc de désactiver la prévisualisation des messages de manière à avoir sous les yeux, le sommaire seulement (la liste des messages)... en cas de message douteux, soit on supprime carrément, soit on regarde le contenu par Clic droit/Propriétés/onglet Détails/bouton Source du message -en bas-/etc... y compris des infos sur l'expéditeur !

Je vais déjeuner et je continue mes commentaires en revenant !

@12C4
Ipl

Ajouter un commentaire - Site web

daniel machu - 4 oct. 2002 à 13:47

Moi, en pleine captivation de sa litterature et subitement...pffout je vais déjeuner!
t'as déjà mangé hier non?
bon tant pis on attendra.
bien cordialement
daniel

ipl - 4 oct. 2002 à 14:02

LOL... je ne t'ai pas fait attendre trop longtemps daniel !

@12C4
Ipl

Réponse

ipl 5815Messages postés 8 octobre 2001Date d'inscription ModérateurStatut 4 oct. 2002 à 14:00

Rebonjour à tous,

Ake voilà -je suis fan, de Johnny- une discussion comme je les aime !!! avec un sujet important, intéressant et plein de questions !

>'il est si facile en voyant l'adresse de serveur pop remplacée par
>127.0.0.1 d'aller rectifier... et par là d'éliminer le scan ! '
>-je ne comprends pas ce que tu veux dire par la...
Daniel, lorsque tu demandes à NAV, la protection de ta messagerie, il transforme les adresses, ainsi par exemple :
(avant activation)
Courrier entrant (POP3) : pop.multimania.com
Nom du compte : GerardMelone
(après activation)
Courrier entrant (POP3) : 127.0.0.1
Nom du compte : GerardMelone/pop.multimania.com

(le serveur multimania n'existe plus)
En allant voir mes comptes par hasard, voyant çà, je me suis dit qu'il y avait là quelque chose qui n'allait pas et que je ne recevrais jamais si j'allais chercher mon courrier sur mon propre ordinateur (127.0.0.1 est l'ordinateur lui-même !), alors j'ai rectifié tout ça !!! :-))
Ensuite, je me suis aperçu (j'en ai eu confirmation en lisant la doc) que c'était NAV !

@12C4
Ipl

Ajouter un commentaire - Site web

Réponse

ipl 5815Messages postés 8 octobre 2001Date d'inscription ModérateurStatut 4 oct. 2002 à 14:24

Rebonjour,

>'Dans la plupart des versions de NAV, c'est l'option "Exécutables
>seulement" qui est choisie et dans ce cas NAV va ignorer la quasi
>totalité des fichiers attachés ! '
>-Je ne trouve pas ou verifier cette option dans norton 2001...si tu
>pouvais m'aider..
J'ai confondu avec un autre antivirus ! les libellés de NAV est en fait, "Fichiers programmes et documents uniquement" et "Tous les fichiers"
Pour voir ça, appelle NAV/Options/ligne Analyses manuelles/prend l'option -bouton radio- "Tous les fichiers" puis ligne Protection automatique/prend l'option -bouton radio- "Tous les fichiers".

J'ai en ce moment sous les yeux, NAV 2000 et il y a peut-être de petites différences avec ton NAV 2001 mais le principe est le même !

Dans une installation standard, Symantec propose l'option "Fichiers programme et documents uniquement" comme si les virus étaient encore incapables (comme il y a 10 ans), d'infecter n'importe quel document !!!

Je rappelle au passage qu'un scan en ligne ( http://www.secuser.com/outils/antivirus.htm ) est à jour du point de vue définitions des virus et impeccable pour ce qui est des options !

@12C4
Ipl

Ajouter un commentaire - Site web

Réponse

ipl 5815Messages postés 8 octobre 2001Date d'inscription ModérateurStatut 4 oct. 2002 à 14:42

Rebonjour,

Ake je suis bavard aujourd'hui ! :-))

(BmV)
>Il a suffit que ton correspondant te mette illico dans son carnet
>d'adresses e-mail et voilà ....
>Ou encore, en visitant le site tu y as peut-être laissé un cookie
>qui aurait pu servir ....
Pas seulement !
Klez et quelques autres sont capables de piquer les adresses chez un tiers !
Un ordinateur Z, pas encore nécessairement infecté (du moins pas en apparence), qui aurait dans son carnet ou dans sa boîte, l'adresse de X et de Y... et voilà un message avec un fichier pris sur le disque de Z partant chez Y avec X comme expéditeur !

Bonjour la confidentialité (fichier de Z qui part chez Y) !
Bonjour la complexité pour retrouver l'expéditeur (Y qui croit que c'est X qui a fait le coup, si Y examine son message, il va s'en prendre à Z et en fait c'est parti de chez Z qui n'est même pas infecté !) ! et voila tout le monde qui s'engueule ! et le créateur du virus qui se bidonne !

@12C4
Ipl

Ajouter un commentaire - Site web

Réponse

ipl 5815Messages postés 8 octobre 2001Date d'inscription ModérateurStatut 4 oct. 2002 à 15:05

Rebonjour,

Et je continue sur ma lancée !

Un petit truc de sécurité... qui n'a rien à voir avec les virus... mais je n'arrive jamais à le placer ;-)

Il y a des actions puissantes sur un ordinateur, qui peuvent détruire le système en un clin d'oeil !!!
Ainsi en est-il des fichiers .BAT (commandes DOS) ! un double clic sur un tel fichier et vous êtes à la merci du programmeur (peut-être l'effacement du disque !)
Ainsi en est-il des fichiers .REG (mise à jour base de registres) ! un double clic et adios le système ! un peu plus facile à remettre en place que le coup du fichier .BAT !

Un conseil : enlever l'option par défaut qui fait qu'un double clic aboutit au lancement du programme ! et mettre l'édition par exemple !
Pour ça, aller dans Windows Explorer :
Affichage/Option des dossiers/onglet Types de fichiers
Par ordre alpha, sélectionner "Inscription dans le registre"/cliquer sur le bouton Modifier/cliquer sur la ligne Edition/cliquer sur le bouton Par défaut
(et voilà l'option Fusionner qui ne sera plus lancée par le double clic ! à la place, il faudra effectuer un clic droit pour choisir Fusionner)
De même pour "Fichier de commande MS-Dos"... Zut, l'option est grisée... je vais vous trouver la méthode !!!

@12C4
Ipl

Ajouter un commentaire - Site web

daniel machu - 4 oct. 2002 à 16:04

Bon!
Ben la, johny ake t'as fait fort!
tu as bien fait d'aller manger finalement, tu nous es revenu complétement revigoré, au point de torcher 4 messages en 42 minutes 12 secondes 3 tiers et 2 belottes!
le tout, bien ficelé d'explications, toutes plus pertinentes les unes que les autres, bref y a des jours ou tu nous épatates!
En tous cas, mille merci de tous ces précieux tuyaux qui devraient permettre que le vieil adage "jamais 2 sans 3" ne puisse plus s'appliquer à moi concernant KLEZ.
bien cordialement
daniel

Réponse

ofournier.cbd 5891Messages postés 10 janvier 2002Date d'inscription 4 oct. 2002 à 18:17

Ben dis donc !!!! Bouche bée !

Olivier Fournier

Ajouter un commentaire - Site web

Réponse

ipl 5815Messages postés 8 octobre 2001Date d'inscription 4 oct. 2002 à 23:46

LOL,

Je ne l'ai pas écrit mais après mes X posts, j'ai du aller boire un coup d'avoir autant parlé !

@12C4
Ipl

Ajouter un commentaire - Site web

Répondre au sujet

Posez votre question

Dossier à la une

5 extensions si vous voulez revenir à l'ancien Facebook

5 extensions si vous voulez revenir à l'ancien Facebook

Vous n'aimez pas le lifting de Facebook ? Le site Mashable propose cinq étapes pour revenir à l'ancienne présentation du réseau social.

Les interviews exclusives

Bazando fidélise ses clients avec les Facebook credits

Toutes les interviews

Collection CommentÇaMarche.net

Jean-Philippe Élie

Tout sur les outils Google : Découvrez la galaxie des services Google

Plus de livres

KLEZ et NORTON

KLEZ et NORTON »

5 extensions si vous voulez revenir à l'ancien Facebook

"un outil vraiment simple à la portée de tous"

Tout sur les e-outils pour les TPE - PME

Tout sur les outils Google : Découvrez la galaxie des services Google

Tout sur les meilleures extensions pour Firefox et IE : Étendre les possibilités de son navigateur favori

Tout sur les systèmes d’information : Grandes, moyennes et petites entreprises

Tout pour bien utiliser l'iPhone 4 et 3GS