Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

El 6 de mayo el Klez puede borrar todos sus archivos
 
VSantivirus No. 664 - Año 6 - Jueves 2 de mayo de 2002

El 6 de mayo el Klez puede borrar todos sus archivos
http://www.vsantivirus.com/02-05-02.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy


El próximo 6 de mayo, podría activarse una de las rutinas destructivas del Klez.E, una de las variantes más reciente de este virus.

Sin embargo, contrariamente a los que algunos medios han mencionado, la versión del Klez que más se ha propagado en el último mes (la identificada como Klez.H, que algunos antivirus identifican como G, I o J, pero básicamente es la misma en todos los casos), no posee una rutina destructiva como las anteriores.

Si nos guiamos por la incidencia de los virus más reportados por las diferentes casas de antivirus, o de sitios especializados como VSAntivirus, podemos ver la clara ventaja de esta variante (Klez.H) respecto a las anteriores (englobadas en Klez.E). En el caso de nuestras estadísticas, 794 reportes del Klez.H contra 166 del Klez.E durante el mes de abril (teniendo en cuenta además, que el Klez.H surgió casi a mediados del mes).

Aunque esto podría parecer un respiro de alivio respecto a las consecuencias del próximo 6 de mayo, sin embargo de ningún modo es algo que debería dejar de preocuparnos, sino todo lo contrario, porque la cantidad de virus latentes bajo la versión Klez.E sigue siendo muy importante de todos modos.

Recordemos que valiéndose de conocidas vulnerabilidades del Internet Explorer, el gusano puede infectarnos con solo visualizar el mensaje en el panel de vista previa, o al intentar leerlo. No es necesario abrir ningún adjunto.

Una rutina destructiva

Aunque hablamos del Klez, en realidad las rutinas destructivas las ejecuta un segundo virus que es liberado por el Klez en una máquina infectada, el W32/Elkern. Para simplificar, seguiremos mencionando al Klez como el "culpable" de estas acciones.

Este virus posee una complicada rutina maliciosa, que realiza un chequeo constante de la fecha del sistema.

Si el mes actual es impar (1, 3, 5, etc.) y la fecha es igual a 6 (como el 6 de mayo), el gusano puede borrar todos los archivos con extensión TXT, HTM, HTML, WAB, DOC, XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK, y MP3, sobreescribiendo los mismos con datos al azar, haciendo imposible su recuperación.

Dentro de estas fechas, el 6 de enero y el 6 de julio, la rutina destructiva es aún más severa, ya que borra todos los archivos de todas las unidades de disco locales y en red.

Pero aun sin el borrado total de archivos del 6 de enero y 6 de julio, la rutina destructiva de los demás días seis de meses impares, es muy severa.

Archivos muy usados como documentos de Word (.DOC), Excel (.XLS), música (.MP3), libretas de direcciones (.WAB), páginas Web (.HTM) y textos (.TXT) entre otros, pueden desaparecer totalmente de su disco duro, y de las unidades de red compartidas (ya pasó en marzo).

Esto es muy crítico en redes corporativas o pequeñas empresas. Una sola computadora infectada, conectada en red a otras, puede acabar con el trabajo de cientos de horas.

Otras fechas

Otras versiones del Klez anteriores a la E, ejecutan su rutina destructiva, borrando todos los archivos del duro con datos al azar, los días 13 de cada mes, o específicamente el 13 de marzo y el 13 de setiembre.

En todos los casos, los archivos son irrecuperables, debido a que son sobrescritos por ceros o basura, sin ninguna referencia a la información anterior que permita su recuperación o reparación.

Otras características del Klez

Cuando Klez infecta una máquina, una de sus características es detener los procesos activos de otros virus, como el Nimda, el Sircam, el Funlove, el CodeRed, y probablemente también las variantes anteriores del Klez.

Pero no solo detiene la acción de algunos virus, sino también la de conocidos antivirus.

Productos como Norton, Mcafee, F-Secure, Sophos, AVP (KAV), InoculateIT, PCCillin, F-Prot y NOD32, son deshabilitados cuando el virus toma el control. Esto deja a los usuarios que ignoran estar infectados, totalmente indefensos ante el ataque de cualquier otro virus.

Cómo protegernos

La única protección efectiva para este gusano, es actualizar el Internet Explorer con el parche al que Microsoft se refiere en su boletín MS01-020 (o MS01-027) (ver referencias al pie de este artículo).

El gusano llega en un mensaje con formato, generalmente con un tamaño de 100 y pocos Kb, con texto y asunto seleccionados al azar, y un adjunto (no visible con el clásico clip), también variable. El remitente puede ser un usuario infectado, o puede figurar cualquier dirección conocida, usurpada por el virus, sin que el remitente esté infectado.

Valiéndose de una vulnerabilidad en las extensiones MIME, el Internet Explorer (quien ejecuta por defecto todos los mensajes con formatos HTML del Outlook, aunque esto pase desapercibido, debido a que no se abre una pantalla del IE), abre y ejecuta el archivo binario adjunto al correo, pensando se trata de uno de música por ejemplo. MIME (Multipurpose Internet Mail Extension) es un sistema que permite integrar dentro de un mensaje de correo electrónico archivos de imágenes, sonido, programas ejecutables, etc., específicos para determinadas aplicaciones o archivos multimedia. El error consiste en hacer pensar al IE que se trata de un sonido o una imagen y abrirlo sin comprobar. En ese caso, el archivo con el gusano (un EXE), se ejecuta sin advertencia alguna.

Son vulnerables usuarios con Internet Explorer 5.0x y 5.5 sin los parches mencionados.

También puede afectar a usuarios con otros navegadores, aunque en ese caso al abrir el adjunto con un doble clic.

El gusano opera independientemente del cliente del correo, usando sus propias rutinas de SMTP para extenderse, de modo que también son afectados los usuarios que no usen Outlook u Outlook Express (aunque se requiere abrir el adjunto).

Cómo limpiar un sistema infectado

Tanto para limpiar un sistema infectado, como para asegurarnos de que el virus no esté en nuestro sistema, siga las instrucciones del siguiente artículo:

VSantivirus No. 654 - 22/abr/02
Guía rápida para limpiar un sistema infectado con el Klez
http://www.vsantivirus.com/faq-klez.htm


Relacionados:

VSantivirus No. 664 - 2/may/02
Un consejo para los que están cansados de recibir el Klez
http://www.vsantivirus.com/faq-reglas-klez.htm

VSantivirus No. 663 - 1/may/02
Los virus más reportados en VSAntivirus (abril 2002)
http://www.vsantivirus.com/virus-report-abr-02.htm

VSantivirus No. 654 - 22/abr/02
Guía rápida para limpiar un sistema infectado con el Klez
http://www.vsantivirus.com/faq-klez.htm

VSantivirus No. 650 - 18/abr/02
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm

VSantivirus No. 626 - 25/mar/02
El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm

VSantivirus No. 559 - 18/ene/02
W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión
http://www.vsantivirus.com/klez-e.htm

VSantivirus No. 559 - 18/ene/02
W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm

VSantivirus No. 548 - 7/ene/02
Guía de supervivencia: Consejos para una computación segura
http://www.vsantivirus.com/guia-de-supervivencia.htm

VSantivirus No. 490 - 10/nov/01
W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm

VSantivirus No. 484 - 4/nov/01
W32/Klez.B. Variante menor del Klez.A 
http://www.vsantivirus.com/klez-b.htm

VSantivirus No. 483 - 3/nov/01
W32/Klez.C. Se ejecuta sin abrir ningún adjunto 
http://www.vsantivirus.com/klez-c.htm

VSantivirus No. 476 - 27/oct/01
Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm

VSantivirus No. 476 - 27/oct/01
W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

VSantivirus No. 476 - 27/oct/01
A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm

VSantivirus No. 324 - 28/may/01
Nuevas vulnerabilidades en IE (MS01-027)
http://www.vsantivirus.com/vulms01-027.htm

VSantivirus No. 266 - 31/mar/01
Grave vulnerabilidad en extensiones MIME en IE 
http://www.vsantivirus.com/vulms01-020.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS