|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| ¡Peligro de virus!. El Klez.E puede borrar sus archivos | ||
|---|---|---|
VSantivirus No. 607 - Año 6 - Miércoles 6 de marzo de 2002 VSantivirus No. 790 - Año 6 - Viernes 6 de setiembre de 2002 ¡Peligro de virus!. El Klez.E puede borrar sus archivos http://www.vsantivirus.com/06-03-02.htm Por Jose Luis Lopez videosoft@videosoft.net.uy Una rutina destructiva El virus Klez.E posee una complicada rutina maliciosa, que realiza un chequeo constante de la fecha del sistema (el nombre de la versión varía por la sencilla razón que cada fabricante de antivirus le ha dado un nombre diferente, de ahí que por ejemplo Panda lo menciona como Klez.F) Si el mes actual es impar (1, 3, 5, etc.) y la fecha es igual a 6 (o sea 6 de enero, 6 de marzo, 6 de mayo, 6 de julio, 6 de setiembre, y 6 de noviembre), el gusano puede borrar todos los archivos con extensión txt, htm, html, wab, doc, xls, jpg, cpp, c, pas, mpg, mpeg, bak, y mp3, sobrescribiendo los mismos con datos al azar, haciendo imposible su recuperación (aunque en realidad no es el Klez propiamente dicho el que causa esta destrucción, sino el ‘Elkern’, virus liberado por el Klez en la máquina infectada). Dentro de estas fechas, el 6 de enero y el 6 de julio, la rutina destructiva es aún más severa, ya que borra todos los archivos de todas las unidades de disco locales y en red. Aun sin el borrado total de archivos del 6 de enero y 6 de julio, la rutina destructiva de los demás días seis de meses impares, es muy severa. Archivos muy usados como documentos de Word (.DOC), Excel (.XLS), música (.MP3), libretas de direcciones (.WAB), páginas Web (.HTM) y textos (.TXT) entre otros, pueden desaparecer totalmente de su disco duro, y de las unidades de red compartidas. Esto es muy crítico en redes corporativas o pequeñas empresas. Una sola computadora infectada, conectada en red a otras, puede acabar con el trabajo de cientos de horas de toda la empresa. Imagínese perder los respaldos de su sitio Web, y en muchos casos, el propio sitio. Es solo un ejemplo, de tantos que pueden darse bajo estas condiciones. Sin embargo, en setiembre debemos cuidarnos por partida doble, ya que existen otras versiones del Klez anteriores a la E, que ejecutan su rutina destructiva cada 13 de setiembre, borrando todos los archivos del duro con datos al azar en esa fecha, en lugar de las mencionadas anteriormente. En todos los casos, los archivos son irrecuperables, debido a que son sobrescritos por ceros o basura, sin ninguna referencia a la información anterior que permita su recuperación o reparación. ¿VSAntivirus.com infectado? Una de las más endiabladas rutinas de este gusano, hace que muchos mensajes sean enviados por un usuario falso. De ese modo, no es extraño recibir un mensaje del mismísimo bgates@microsoft.com infectado. Con estas características, el virus se vuelve sumamente peligroso. Cualquier conocido puede "enviarle" un mensaje infectado con el Klez, incluidos nosotros, sin que realmente el mensaje haya salido de nuestras computadoras, ni estemos infectados. Para estar protegidos, solo nos queda desconfiar más que nunca, de todo mensaje recién recibido, sin importar de quien venga, y tener los parches correspondientes en nuestro Internet Explorer y Outlook Express. Otras características del Klez Cuando Klez infecta una máquina, una de sus características es detener los procesos activos de otros virus, como el Nimda, el Sircam, el Funlove, el CodeRed, y probablemente también las variantes anteriores del Klez. Uno de los textos detectados en el cuerpo del virus dice (en inglés), algo como "intentaré lo mejor de mi parte para proteger al usuario de maliciosos virus como Funlove, Sircam, Nimda, CodeRed e incluso W32.Klez 1.X". Lo que demuestra el retorcido sentido del humor del autor del virus, si tenemos en cuenta las rutinas destructivas del propio Klez. Aunque no hay informes comprobados, el autor del Klez podría ser un programador asiático, aunque la referencia en su código ("made in Asia"), no debe ser tomado como prueba concluyente. Sin embargo, en los ambientes relacionados, poco se ha dicho del verdadero autor, quizás temiendo las represalias que en otros casos se han dado. Lo cierto de todo esto, es que el Klez no solo detiene la acción de algunos virus, sino también la de conocidos antivirus, volviendo aún más irónico y malicioso, la proclama antiviral que mencionábamos. Productos como Norton, Mcafee, F-Secure, Sophos, AVP (KAV), InoculateIT, PCCillin, F-Prot y NOD32, son deshabilitados cuando el virus toma el control. Esto deja a los usuarios que ignoran estar infectados, totalmente indefensos ante el ataque de cualquier otro virus. Cómo protegernos La única protección efectiva para este gusano, es actualizar el Internet Explorer (ver Referencias al pie de este artículo). El gusano llega en un mensaje con formato, generalmente con un tamaño de 100 y pocos Kb, con texto y asunto seleccionados al azar, y un adjunto (no visible con el clásico clip), también variable. El remitente puede ser un usuario infectado, o puede figurar cualquier dirección conocida, usurpada por el virus, sin que el remitente esté infectado. Valiéndose de una vulnerabilidad en las extensiones MIME, el Internet Explorer (quien ejecuta por defecto todos los mensajes con formatos HTML del Outlook, aunque esto pase desapercibido, debido a que no se abre una pantalla del IE), abre y ejecuta el archivo binario adjunto al correo, pensando se trata de uno de música por ejemplo. MIME (Multipurpose Internet Mail Extension) es un sistema que permite integrar dentro de un mensaje de correo electrónico archivos de imágenes, sonido, programas ejecutables, etc., específicos para determinadas aplicaciones o archivos multimedia. El error consiste en hacer pensar al IE que se trata de un sonido o una imagen y abrirlo sin comprobar. En ese caso, el archivo con el gusano (un EXE), se ejecuta sin advertencia alguna. Son vulnerables usuarios con Internet Explorer 5.0x y 5.5 sin los parches mencionados. También puede afectar a usuarios con otros navegadores, aunque en ese caso al abrir el adjunto con un doble clic. El gusano opera independientemente del cliente del correo, usando sus propias rutinas de SMTP para extenderse, de modo que también son afectados los usuarios que no usen Outlook u Outlook Express (aunque se requiere abrir el adjunto). Herramienta para limpiar el Klez.E CLARV es una utilidad creada por Kaspersky Labs para eliminar la infección del Klez (y otros virus, como se explica en el enlace a nuestro sitio). Siga estos pasos para utilizar CLRAV (*):
2. Haga doble clic sobre el archivo descargado (CLRAV) y siga las instrucciones. |
||
