|
VSantivirus No. 607 - Año 6 - Miércoles 6 de marzo de 2002
VSantivirus No. 790 - Año 6 - Viernes 6 de setiembre de 2002
¡Peligro de virus!. El Klez.E puede borrar sus archivos
http://www.vsantivirus.com/06-03-02.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Una rutina destructiva
El virus Klez.E posee una complicada rutina maliciosa, que realiza un chequeo constante de la fecha del sistema (el nombre de la versión varía por la sencilla razón que cada fabricante de antivirus le ha dado un nombre diferente, de ahí que por ejemplo Panda lo menciona como Klez.F)
Si el mes actual es impar (1, 3, 5, etc.) y la fecha es igual a 6 (o sea 6 de enero, 6 de marzo, 6 de mayo, 6 de julio, 6 de setiembre, y 6 de noviembre), el gusano puede borrar todos los archivos con extensión txt, htm, html, wab, doc, xls, jpg, cpp, c, pas, mpg, mpeg, bak, y mp3, sobrescribiendo los mismos con datos al azar, haciendo imposible su recuperación
(aunque en realidad no es el Klez propiamente dicho el que causa esta destrucción, sino el ‘Elkern’, virus liberado por el Klez en la máquina infectada).
Dentro de estas fechas, el 6 de enero y el 6 de julio, la rutina destructiva es aún más severa, ya que borra todos los archivos de todas las unidades de disco locales y en red.
Aun sin el borrado total de archivos del 6 de enero y 6 de julio, la rutina destructiva de los demás días seis de meses impares, es muy severa.
Archivos muy usados como documentos de Word (.DOC), Excel (.XLS), música
(.MP3), libretas de direcciones (.WAB), páginas Web (.HTM) y textos (.TXT) entre otros, pueden desaparecer totalmente de su disco duro, y de las unidades de red compartidas. Esto es muy crítico en redes corporativas o pequeñas empresas. Una sola computadora infectada, conectada en red a otras, puede acabar con el trabajo de cientos de horas de toda la empresa. Imagínese perder los respaldos de su sitio Web, y en muchos casos, el propio sitio. Es solo un ejemplo, de tantos que pueden darse bajo estas condiciones.
Sin embargo, en setiembre debemos cuidarnos por partida doble,
ya que existen otras versiones del Klez anteriores a la E, que
ejecutan su rutina destructiva cada 13
de setiembre, borrando todos los
archivos del duro con datos al azar en esa fecha, en lugar de
las mencionadas anteriormente.
En todos los casos, los archivos son irrecuperables, debido a
que son sobrescritos por ceros o basura, sin ninguna
referencia a la información anterior que permita su
recuperación o reparación.
¿VSAntivirus.com infectado?
Una de las más endiabladas rutinas de este gusano, hace que muchos mensajes sean enviados por un usuario falso. De ese modo, no es extraño recibir un mensaje del mismísimo bgates@microsoft.com infectado.
Con estas características, el virus se vuelve sumamente peligroso. Cualquier conocido puede "enviarle" un mensaje infectado con el
Klez, incluidos nosotros, sin que realmente el mensaje haya salido de nuestras computadoras, ni estemos infectados.
Para estar protegidos, solo nos queda desconfiar más que nunca, de todo mensaje recién recibido, sin importar de quien venga, y tener los parches correspondientes en nuestro Internet Explorer y Outlook Express.
Otras características del Klez
Cuando Klez infecta una máquina, una de sus características es detener los procesos activos de otros virus, como el Nimda, el Sircam, el Funlove, el CodeRed, y probablemente también las variantes anteriores del Klez.
Uno de los textos detectados en el cuerpo del virus dice (en inglés), algo como "intentaré lo mejor de mi parte para proteger al usuario de maliciosos virus como Funlove, Sircam, Nimda, CodeRed e incluso W32.Klez 1.X". Lo que demuestra el retorcido sentido del humor del autor del virus, si tenemos en cuenta las rutinas destructivas del propio
Klez.
Aunque no hay informes comprobados, el autor del Klez podría ser un programador asiático, aunque la referencia en su código ("made in Asia"), no debe ser tomado como prueba concluyente. Sin embargo, en los ambientes relacionados, poco se ha dicho del verdadero autor, quizás temiendo las represalias que en otros casos se han dado.
Lo cierto de todo esto, es que el Klez no solo detiene la acción de algunos virus, sino también la de conocidos antivirus, volviendo aún más irónico y malicioso, la proclama antiviral que mencionábamos.
Productos como Norton, Mcafee, F-Secure, Sophos, AVP (KAV), InoculateIT, PCCillin, F-Prot y NOD32, son deshabilitados cuando el virus toma el control. Esto deja a los usuarios que ignoran estar infectados, totalmente indefensos ante el ataque de cualquier otro virus.
Cómo protegernos
La única protección efectiva para este gusano, es actualizar el Internet Explorer
(ver Referencias al pie de este artículo).
El gusano llega en un mensaje con formato, generalmente con un tamaño de 100 y pocos Kb, con texto y asunto seleccionados al azar, y un adjunto (no visible con el clásico clip), también variable. El remitente puede ser un usuario infectado, o puede figurar cualquier dirección conocida, usurpada por el virus, sin que el remitente esté infectado.
Valiéndose de una vulnerabilidad en las extensiones MIME, el Internet Explorer (quien ejecuta por defecto todos los mensajes con formatos HTML del Outlook, aunque esto pase desapercibido, debido a que no se abre una pantalla del IE), abre y ejecuta el archivo binario adjunto al correo, pensando se trata de uno de música por ejemplo. MIME (Multipurpose Internet Mail Extension) es un sistema que permite integrar dentro de un mensaje de correo electrónico archivos de imágenes, sonido, programas ejecutables, etc., específicos para determinadas aplicaciones o archivos multimedia. El error consiste en hacer pensar al IE que se trata de un sonido o una imagen y abrirlo sin comprobar. En ese caso, el archivo con el gusano (un EXE), se ejecuta sin advertencia alguna.
Son vulnerables usuarios con Internet Explorer 5.0x y 5.5 sin los parches mencionados.
También puede afectar a usuarios con otros navegadores, aunque en ese caso al abrir el adjunto con un doble clic.
El gusano opera independientemente del cliente del correo, usando sus propias rutinas de SMTP para extenderse, de modo que también son afectados los usuarios que no usen Outlook u Outlook Express (aunque se requiere abrir el adjunto).
Herramienta para limpiar el Klez.E
CLARV es una utilidad creada por Kaspersky Labs para eliminar la infección del Klez (y otros virus, como se explica en el enlace a nuestro sitio).
Siga estos pasos para utilizar CLRAV (*):
1. Descargue CLRAV de nuestro sitio al escritorio de Windows (por ejemplo)
CLRAV.COM (86 Kb)
http://www.videosoft.net.uy/clrav.com
2. Haga doble clic sobre el archivo descargado (CLRAV) y siga las instrucciones.
3. Ejecute uno o dos antivirus actualizados
4. Reinicie su PC
5. Vuelva a ejecutar un antivirus actualizado escaneando todos sus discos
Nota: Si su PC está conectado a una red, desconecte cada PC de la red, y repita este proceso EN CADA PC.
(*) CLRAV es Copyright (C) Kaspersky Lab 2000-2002. All rights reserved.
Referencias:
CLRAV de Kaspersky Labs
http://www.vsantivirus.com/util-clrav.htm
W32/Elkern.C (Elkern.D). El "regalo" que deja el Klez.H
http://www.vsantivirus.com/elkern-c.htm
W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm
Virus: W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm
W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión
http://www.vsantivirus.com/klez-e.htm
El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm
Virus: W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm
A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm
Virus: W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm
Virus: W32/Klez.C. Se ejecuta sin abrir ningún adjunto
http://www.vsantivirus.com/klez-c.htm
¡Cuidado!. Los viejos virus pueden tener nueva cara
http://www.vsantivirus.com/03-05-02.htm
Klez.H hace públicos nuestros secretos más íntimos
http://www.vsantivirus.com/20-04-02a.htm
Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm
Guía rápida para limpiar un sistema infectado con el Klez.H
http://www.vsantivirus.com/faq-klez.htm
Actualizaciones:
6 de setiembre de 2002
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|