|
VSantivirus No. 652 - Año 6 - Sábado 20 de abril de 2002
W32/Elkern.C (Elkern.D). El "regalo" que deja el Klez.H
http://www.vsantivirus.com/elkern-c.htm
Nombre: W32/Elkern.C
Tipo: Infector de archivos de Windows 98
Alias: W32/Elkern.D, Elkern.c, PE_ELKERN.C, Win32.Klez.c, W32.Elkern.4926
Tamaño: 4926 bytes
Fecha: 17/abr/02
Este virus es liberado por el Klez.H, la nueva variante del Klez.
Se trata de un virus polimórfico y parásito, capaz de infectar ejecutables en formato PE, y que funciona bajo Windows 98, Me, 2000 y XP.
Es capaz de infectar usando las "cavidades" del archivo original, no modificando los tamaños de dicho archivo (esta técnica se denomina "cavity").
W32/Elkern.C (reconocido como Elkern.D por algunos antivirus), contiene las rutinas encargadas de deshabilitar el acceso a aquellos antivirus instalados en la máquina infectada. El cuerpo del virus contiene el siguiente texto en un formato encriptado (no es visible a simple vista):
Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus, Win32 Foroux
2,No significant change.No bug fixed.No any payload. About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing
Las principales diferencias con las versiones anteriores del virus son la incorporación de un algoritmo inteligente para evitar infectar archivos autoextraíbles
.RAR y .ZIP, que causan un error cuando se infectan.
Implementa también un nuevo algoritmo de encriptación, para evitar ser detectado por un antivirus, o para dificultar su reconocimiento (actualmente lo reconocen todos los antivirus conocidos, en sus últimas actualizaciones).
Finalmente, esta variante tampoco posee la rutina destructiva (borrado de archivos) de las anteriores.
El virus libera un archivo con nombre al azar, generalmente en la carpeta
C:\Program Files (aún en la versión en español de Windows).
Es capaz de infectar archivos locales y aquellos en unidades de red con carpetas compartidas. También deshabilita la protección de los archivos, infectando al propio
EXPLORER.EXE en memoria (por ello el procedimiento de limpieza debe hacerse en Modo a prueba de fallos).
Ver la información para la eliminación de este virus en un sistema infectado, en la descripción del virus
W32/Klez.H (http://www.vsantivirus.com/klez-h.htm)
Relacionados:
VSantivirus No. 476 - 27/oct/01
W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm
VSantivirus No. 559 - 18/ene/02
W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm
VSantivirus No. 650 - 18/abr/02
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|