W32/Elkern.B. Peligroso virus que acompaña al Klez

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 559 - Año 6 - Viernes 18 de enero de 2002

W32/Elkern.B. Peligroso virus que acompaña al Klez

Nombre: W32/Elkern.B
Tipo: Infector de archivos de Windows 98
Alias: Elkern.b, PE_ELKERN.B, Win32.Klez.b
Fecha: 17/ene/02
Fuente: F-Secure, Trend Micro

Elkern.b es un virus polimórfico y parásito, capaz de infectar ejecutables en formato PE, y que solo funciona bajo Windows 98 y Me, debido a sus características. Es capaz de infectar usando las "cavidades" del archivo original, no modificando los tamaños de dicho archivo (esta técnica se denomina "cavity").

Originalmente apareció con la primera versión del gusano Klez, en octubre de 2001, cuando era liberado por este en un sistema infectado. Pero también ha sido visto en forma independiente del Klez, luego de esa fecha.

El virus consiste en 4 partes, el desencriptador inicial, el código de inicio, la tabla API y el código principal.

Cuando el código del virus toma el control, el desencriptador inicial, desencripta el código de inicio y le pasa el control.

El virus localiza la librería principal de Windows, KERNEL32.DLL para examinar la memoria de Windows y tomar la dirección de las 27 funciones API de Windows.

Luego, prepara su propio bloque de memoria para él, y copia su cuerpo en diversos sitios del disco.

Si el virus se ejecuta desde un archivo infectado, el mismo ensambla su código principal recolectándolo de las diversas "cavidades" en que se había copiado.

Luego, el virus desencripta su cuerpo principal, borra sus llaves de encriptación anteriores y le pasa el control al código principal. El virus utiliza llaves de encriptación variables (keys) para encriptar y desencriptar su código principal.

Cuando el código principal toma el control, lo primero que hace es llamar a la función API llamada IsDebuggerPresent API function.

El virus, por error de programación o desconocimiento, llama a esta función usando una dirección fija para esta API. Y esta dirección es solo válida en Windows 98 y Me.

En los otros sistemas operativos, el virus ocasiona el cuelgue de Windows.

El virus se inicia a si mismo como un proceso de servicio y por lo tanto su acción no es visible en la lista de tareas.

En Windows 98, el virus copia el archivo que empezó la confusión (él mismo) al directorio Windows\System, con el nombre de WQK.EXE. Luego marca los atributos "name", "sets hidden", system y read-only (solo lectura). Luego crea las claves en el registro para activarse en los próximos reinicios de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

En Windows NT y 2000 el virus libera su propio código con el nombre de WQK.DLL en la carpeta \System32\ e intenta crear una llave de entrada "AppInit_DLLs" en la siguiente clave:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows

Cómo vimos, debido a un error, el virus falla y cuelga la máquina..

En otros sistema (Win98), el virus busca archivos ejecutables en formato PE en los directorios locales y en las unidades de red compartidas y los infecta, preservando sus atributos originales. Solo infecta archivos PE (.EXE, .SCR), mayores de 8192 bytes.

El virus genera diferentes llaves de encriptación al infectar archivos nuevos, para lo que utiliza las "cavidades" del archivo original, sin modificar el tamaños de este.

En esta versión no aparecen otras diferencias, e incluso, el error que hace que funcione solo en Windows 98, sigue idéntico.

El ejecutable del virus no muestra ningún icono.

El virus posee una rutina destructiva que sobrescribe el contenido de los archivos con ceros, haciéndolos irrecuperables (salvo desde un respaldo anterior).

Esta rutina se activa el 13 de marzo o el 13 de setiembre.

El virus puede llegar a infectar a su propio portador, el gusano W32/Klez.E que lo copió en esa máquina.

Vea la descripción del virus W32/Klez.E, para las instrucciones de como quitar este virus de un sistema infectado (http://www.vsantivirus.com/klez-e.htm)

Relacionados:

VSantivirus No. 476 - 27/oct/01
Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm

VSantivirus No. 476 - 27/oct/01
W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

VSantivirus No. 476 - 27/oct/01
A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm

VSantivirus No. 483 - 3/nov/01
W32/Klez.C. Se ejecuta sin abrir ningún adjunto
http://www.vsantivirus.com/klez-c.htm

VSantivirus No. 484 - 4/nov/01
W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm

VSantivirus No. 490 - 10/nov/01
W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm

VSantivirus No. 559 - 18/ene/02
W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión
http://www.vsantivirus.com/klez-e.htm

VSantivirus No. 476 - 27/oct/01
W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

VSantivirus No. 559 - 18/ene/02
W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm

VSantivirus No. 266 - 31/mar/01
Grave vulnerabilidad en extensiones MIME en IE
http://www.vsantivirus.com/vulms01-020.htm

VSantivirus No. 324 - 28/may/01
Nuevas vulnerabilidades en IE (MS01-027)
http://www.vsantivirus.com/vulms01-027.htm

VSantivirus No. 548 - 7/ene/02
Guía de supervivencia: Consejos para una computación segura
http://www.vsantivirus.com/guia-de-supervivencia.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com