|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| El 6 de mayo el Klez puede borrar todos sus archivos | ||
|---|---|---|
VSantivirus No. 664 - Año 6 - Jueves 2 de mayo de 2002 El 6 de mayo el Klez puede borrar todos sus archivos http://www.vsantivirus.com/02-05-02.htm Por Jose Luis Lopez videosoft@videosoft.net.uy El próximo 6 de mayo, podría activarse una de las rutinas destructivas del Klez.E, una de las variantes más reciente de este virus. Sin embargo, contrariamente a los que algunos medios han mencionado, la versión del Klez que más se ha propagado en el último mes (la identificada como Klez.H, que algunos antivirus identifican como G, I o J, pero básicamente es la misma en todos los casos), no posee una rutina destructiva como las anteriores. Si nos guiamos por la incidencia de los virus más reportados por las diferentes casas de antivirus, o de sitios especializados como VSAntivirus, podemos ver la clara ventaja de esta variante (Klez.H) respecto a las anteriores (englobadas en Klez.E). En el caso de nuestras estadísticas, 794 reportes del Klez.H contra 166 del Klez.E durante el mes de abril (teniendo en cuenta además, que el Klez.H surgió casi a mediados del mes). Aunque esto podría parecer un respiro de alivio respecto a las consecuencias del próximo 6 de mayo, sin embargo de ningún modo es algo que debería dejar de preocuparnos, sino todo lo contrario, porque la cantidad de virus latentes bajo la versión Klez.E sigue siendo muy importante de todos modos. Recordemos que valiéndose de conocidas vulnerabilidades del Internet Explorer, el gusano puede infectarnos con solo visualizar el mensaje en el panel de vista previa, o al intentar leerlo. No es necesario abrir ningún adjunto. Una rutina destructiva Aunque hablamos del Klez, en realidad las rutinas destructivas las ejecuta un segundo virus que es liberado por el Klez en una máquina infectada, el W32/Elkern. Para simplificar, seguiremos mencionando al Klez como el "culpable" de estas acciones. Este virus posee una complicada rutina maliciosa, que realiza un chequeo constante de la fecha del sistema. Si el mes actual es impar (1, 3, 5, etc.) y la fecha es igual a 6 (como el 6 de mayo), el gusano puede borrar todos los archivos con extensión TXT, HTM, HTML, WAB, DOC, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, y MP3, sobreescribiendo los mismos con datos al azar, haciendo imposible su recuperación. Dentro de estas fechas, el 6 de enero y el 6 de julio, la rutina destructiva es aún más severa, ya que borra todos los archivos de todas las unidades de disco locales y en red. Pero aun sin el borrado total de archivos del 6 de enero y 6 de julio, la rutina destructiva de los demás días seis de meses impares, es muy severa. Archivos muy usados como documentos de Word (.DOC), Excel (.XLS), música (.MP3), libretas de direcciones (.WAB), páginas Web (.HTM) y textos (.TXT) entre otros, pueden desaparecer totalmente de su disco duro, y de las unidades de red compartidas (ya pasó en marzo). Esto es muy crítico en redes corporativas o pequeñas empresas. Una sola computadora infectada, conectada en red a otras, puede acabar con el trabajo de cientos de horas. Otras fechas Otras versiones del Klez anteriores a la E, ejecutan su rutina destructiva, borrando todos los archivos del duro con datos al azar, los días 13 de cada mes, o específicamente el 13 de marzo y el 13 de setiembre. En todos los casos, los archivos son irrecuperables, debido a que son sobrescritos por ceros o basura, sin ninguna referencia a la información anterior que permita su recuperación o reparación. Otras características del Klez Cuando Klez infecta una máquina, una de sus características es detener los procesos activos de otros virus, como el Nimda, el Sircam, el Funlove, el CodeRed, y probablemente también las variantes anteriores del Klez. Pero no solo detiene la acción de algunos virus, sino también la de conocidos antivirus. Productos como Norton, Mcafee, F-Secure, Sophos, AVP (KAV), InoculateIT, PCCillin, F-Prot y NOD32, son deshabilitados cuando el virus toma el control. Esto deja a los usuarios que ignoran estar infectados, totalmente indefensos ante el ataque de cualquier otro virus. Cómo protegernos La única protección efectiva para este gusano, es actualizar el Internet Explorer con el parche al que Microsoft se refiere en su boletín MS01-020 (o MS01-027) (ver referencias al pie de este artículo). El gusano llega en un mensaje con formato, generalmente con un tamaño de 100 y pocos Kb, con texto y asunto seleccionados al azar, y un adjunto (no visible con el clásico clip), también variable. El remitente puede ser un usuario infectado, o puede figurar cualquier dirección conocida, usurpada por el virus, sin que el remitente esté infectado. Valiéndose de una vulnerabilidad en las extensiones MIME, el Internet Explorer (quien ejecuta por defecto todos los mensajes con formatos HTML del Outlook, aunque esto pase desapercibido, debido a que no se abre una pantalla del IE), abre y ejecuta el archivo binario adjunto al correo, pensando se trata de uno de música por ejemplo. MIME (Multipurpose Internet Mail Extension) es un sistema que permite integrar dentro de un mensaje de correo electrónico archivos de imágenes, sonido, programas ejecutables, etc., específicos para determinadas aplicaciones o archivos multimedia. El error consiste en hacer pensar al IE que se trata de un sonido o una imagen y abrirlo sin comprobar. En ese caso, el archivo con el gusano (un EXE), se ejecuta sin advertencia alguna. Son vulnerables usuarios con Internet Explorer 5.0x y 5.5 sin los parches mencionados. También puede afectar a usuarios con otros navegadores, aunque en ese caso al abrir el adjunto con un doble clic. El gusano opera independientemente del cliente del correo, usando sus propias rutinas de SMTP para extenderse, de modo que también son afectados los usuarios que no usen Outlook u Outlook Express (aunque se requiere abrir el adjunto). Cómo limpiar un sistema infectado Tanto para limpiar un sistema infectado, como para asegurarnos de que el virus no esté en nuestro sistema, siga las instrucciones del siguiente artículo: VSantivirus No. 654 - 22/abr/02 Guía rápida para limpiar un sistema infectado con el Klez http://www.vsantivirus.com/faq-klez.htm Relacionados: VSantivirus No. 664 - 2/may/02 Un consejo para los que están cansados de recibir el Klez http://www.vsantivirus.com/faq-reglas-klez.htm VSantivirus No. 663 - 1/may/02 Los virus más reportados en VSAntivirus (abril 2002) http://www.vsantivirus.com/virus-report-abr-02.htm VSantivirus No. 654 - 22/abr/02 Guía rápida para limpiar un sistema infectado con el Klez http://www.vsantivirus.com/faq-klez.htm VSantivirus No. 650 - 18/abr/02 W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas! http://www.vsantivirus.com/klez-h.htm VSantivirus No. 626 - 25/mar/02 El virus que destruyó nuestra credibilidad http://www.vsantivirus.com/klez-credibilidad.htm VSantivirus No. 559 - 18/ene/02 W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión http://www.vsantivirus.com/klez-e.htm VSantivirus No. 559 - 18/ene/02 W32/Elkern.B. Peligroso virus que acompaña al Klez http://www.vsantivirus.com/elkern-b.htm VSantivirus No. 548 - 7/ene/02 Guía de supervivencia: Consejos para una computación segura http://www.vsantivirus.com/guia-de-supervivencia.htm VSantivirus No. 490 - 10/nov/01 W32/Klez.D. Continúa la saga de los "Klez" http://www.vsantivirus.com/klez-d.htm VSantivirus No. 484 - 4/nov/01 W32/Klez.B. Variante menor del Klez.A http://www.vsantivirus.com/klez-b.htm VSantivirus No. 483 - 3/nov/01 W32/Klez.C. Se ejecuta sin abrir ningún adjunto http://www.vsantivirus.com/klez-c.htm VSantivirus No. 476 - 27/oct/01 Klez, otro virus que infecta sin abrir adjuntos http://www.vsantivirus.com/klez.htm VSantivirus No. 476 - 27/oct/01 W98/Elkern.A. Destructivo virus liberado por el W32/Klez http://www.vsantivirus.com/elkern-a.htm VSantivirus No. 476 - 27/oct/01 A fondo: W32/Klez, como el Nimda, nos infecta al verlo http://www.vsantivirus.com/klez-a.htm VSantivirus No. 324 - 28/may/01 Nuevas vulnerabilidades en IE (MS01-027) http://www.vsantivirus.com/vulms01-027.htm VSantivirus No. 266 - 31/mar/01 Grave vulnerabilidad en extensiones MIME en IE http://www.vsantivirus.com/vulms01-020.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com |
||
