Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Elkern.C (Elkern.D). El "regalo" que deja el Klez.H
 
VSantivirus No. 652 - Año 6 - Sábado 20 de abril de 2002

 W32/Elkern.C (Elkern.D). El "regalo" que deja el Klez.H
http://www.vsantivirus.com/elkern-c.htm

Nombre: W32/Elkern.C
Tipo: Infector de archivos de Windows 98
Alias: W32/Elkern.D, Elkern.c, PE_ELKERN.C, Win32.Klez.c, W32.Elkern.4926
Tamaño: 4926 bytes
Fecha: 17/abr/02

Este virus es liberado por el Klez.H, la nueva variante del Klez.

Se trata de un virus polimórfico y parásito, capaz de infectar ejecutables en formato PE, y que funciona bajo Windows 98, Me, 2000 y XP.

Es capaz de infectar usando las "cavidades" del archivo original, no modificando los tamaños de dicho archivo (esta técnica se denomina "cavity").

W32/Elkern.C (reconocido como Elkern.D por algunos antivirus), contiene las rutinas encargadas de deshabilitar el acceso a aquellos antivirus instalados en la máquina infectada. El cuerpo del virus contiene el siguiente texto en un formato encriptado (no es visible a simple vista):

Win32 Klez V2.01 & Win32 Foroux V1.0 
Copyright 2002,made in Asia 
About Klez V2.01: 
1,Main mission is to release the new baby PE virus, Win32 Foroux
2,No significant change.No bug fixed.No any payload. About Win32 Foroux (plz keep the name,thanx) 
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP 
2,With very interesting feature.Check it!
3,No any payload.No any optimization 
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing

Las principales diferencias con las versiones anteriores del virus son la incorporación de un algoritmo inteligente para evitar infectar archivos autoextraíbles .RAR y .ZIP, que causan un error cuando se infectan.

Implementa también un nuevo algoritmo de encriptación, para evitar ser detectado por un antivirus, o para dificultar su reconocimiento (actualmente lo reconocen todos los antivirus conocidos, en sus últimas actualizaciones).

Finalmente, esta variante tampoco posee la rutina destructiva (borrado de archivos) de las anteriores.

El virus libera un archivo con nombre al azar, generalmente en la carpeta C:\Program Files (aún en la versión en español de Windows).

Es capaz de infectar archivos locales y aquellos en unidades de red con carpetas compartidas. También deshabilita la protección de los archivos, infectando al propio EXPLORER.EXE en memoria (por ello el procedimiento de limpieza debe hacerse en Modo a prueba de fallos).

Ver la información para la eliminación de este virus en un sistema infectado, en la descripción del virus W32/Klez.H (http://www.vsantivirus.com/klez-h.htm)

Relacionados:

VSantivirus No. 476 - 27/oct/01
W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

VSantivirus No. 559 - 18/ene/02
W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm

VSantivirus No. 650 - 18/abr/02
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS