|
VSantivirus No. 654 - Año 6 - Lunes 22 de abril de 2002
Guía rápida para limpiar un sistema infectado con el Klez.H
http://www.vsantivirus.com/faq-klez.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
El Klez.H (junto con el Klez.E), se ha convertido en una de las plagas más importantes en lo que va del año. Su facilidad para propagarse (no es necesario abrir un adjunto), la cantidad diferente de mensajes con diferentes asuntos y contenidos, y la habilidad de tomar como remitente a cualquier usuario (esté o no esté infectado), han logrado que se haya propagado más de lo esperado.
Desde la semana pasada, recibimos diariamente decenas de consultas sobre este virus (o relacionadas con infecciones causadas por el virus, que el usuario supone se deban a otra causa).
Es por ese motivo que hemos desarrollado esta guía rápida, que pretende ayudar a un usuario medio primero a descubrir si tiene el virus, segundo a quitarlo de un sistema infectado. Finalmente se dan algunas pautas para no volver a ser infectado. Este último punto, útil para todo aquel que aún no lo ha sido.
¿Cómo llega el virus a mi PC?
El Klez.H se propaga por medio del correo electrónico. Aparece en una gran variedad de mensajes, con diferentes asuntos, textos, e inclusive adjuntos. La variación de los mismos, dificulta su identificación a simple vista, y más aún a un usuario medio. Por ello, la mejor solución es plantearnos que todo mensaje no solicitado, es potencialmente peligroso.
¿Cómo puedo identificar estos mensajes?
En nuestro artículo 'W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!'
http://www.vsantivirus.com/klez-h.htm, se describe esto con más detalle, pero por lo pronto, es útil saber que el Klez.H en ocasiones aparece como un mensaje que se auto ejecuta al verlo (no aparenta tener adjunto, porque este permanece oculto), y en otras ocasiones llega como un mensaje (que no se auto ejecuta), conteniendo un adjunto que dice ser una cura para el propio Klez.
Alguno de los asuntos más comunes:
A funny website
A special powfultool
A IE 6.0 patch
Worm Klez.E immunity
Pero recuerde que no son los únicos, y que todo mensaje no solicitado es sospechoso.
¿Cómo me infecta?
Primero que nada, es muy importante tener los parches necesarios del Internet Explorer, para evitar que este gusano infecte nuestro PC por medio de su mecanismo más clásico (simplemente por ver el mensaje en el panel de vista previa o al leerlo). No es necesario abrir ningún adjunto para que nos infecte (aunque hay variantes del virus que si requieren ejecutar el adjunto).
¿Cómo quito el panel de vista previa?
En el Outlook Express, seleccione Ver, Diseño, desmarque "Mostrar panel de vista previa"
¿Cómo descargo los parches del Internet Explorer?
Los parches necesarios puede conseguirlos desde la actualización de productos de Microsoft, conectándose a su sitio:
http://windowsupdate.microsoft.com/
Seleccione "Actualización de productos", y luego lo que corresponda a su equipo entre las "Actualizaciones críticas" que sean detectadas, para asegurarse de que el equipo funciona sin problemas y para protegerlo ante posibles fallas de seguridad. Un "Paquete de actualizaciones críticas" aparece siempre que estas sean necesarias para su equipo. Descargue las que corresponda, o todo el paquete para actualizar todo su sistema en un solo paso
¿Porqué me infecté igual a pesar de los parches?
Suponiendo que se descargaron y actualizaron debidamente los parches que evitan la ejecución automática de este virus (y de cualquier otro que use el mismo método), en varias ocasiones el usuario igual se infecta. En todos estos casos hemos constatado que el propio usuario tiene la culpa (y que no hay sistema operativo a prueba de "kamikazes del ratón", como solemos decir).
La infección sucede porque sencillamente no contestamos con la opción debida. A pesar de que el método propuesto por el parche podría ser más elaborado (como veremos), todavía es difícil de entender porque la mayoría de las personas está guiada por la tendencia a cambiar las opciones por defecto.
El parche lo único que hace, es advertir al usuario que un archivo binario ejecutable, va a ser abierto, y nos pregunta si deseamos abrirlo o guardarlo.
Cómo vemos en esta imagen un cuadro de diálogo nos pregunta si deseamos "Abrir el archivo desde su ubicación actual", o "Guardar este archivo a disco".
Por defecto está tildada la segunda opción. Por alguna extraña razón, la mayoría de los usuarios cambian esta opción por la primera, y pulsan en [ Aceptar ]. ¡Grave error!... Es más, ni siquiera debemos aceptar la opción de guardar al disco (para evitar riesgos), y lo que si debemos hacer es pinchar en el botón [ Cancelar ], y luego borrar el mensaje.
Recuerde, por su bien, que todo mensaje no solicitado que sugiere archivos adjuntos puede ser potencialmente peligroso. ¡Sólo bórrelo!.
¿Porqué el antivirus no me lo detectó?
Un antivirus actualizado y debidamente instalado, debería interceptar la posible ejecución de este u otro virus, antes de que el mismo actúe. Sin embargo, muchas personas no tienen al día los mismos, o no lo tienen correctamente configurado.
El Klez además, tiene la habilidad de borrar la mayoría de los antivirus activos, salteándose muchas veces esta protección al estar en memoria. Cómo en todas las ocasiones, nuestra salud y la de nuestro PC, depende de donde y cuando hacemos doble clic. Siga las instrucciones dadas en las respuestas anteriores, para estar más protegido.
Tengamos o no antivirus, muchas veces todo depende de nuestro impulsivo afán de pinchar con el ratón, en toda opción que se nos presenta, sin atinar a lo más obvio ante situaciones inesperadas, el botón Cancelar o CTRL+ALT+SUPR y finalizar la tarea correspondiente a la aplicación abierta (en este caso, el mensaje).
¿Cómo saber si estoy infectado?
La respuesta más obvia, sería ejecutar regularmente un antivirus para escanear todos nuestros archivos. Sin embargo, hay síntomas que nos avisan que algo anda mal. Los dos más comunes son:
1. Al iniciarse Windows, sale un mensaje de error advirtiendo que un componente de nuestro antivirus no puede cargarse.
2. Todo el sistema se comporta errático, sumamente lento, incluido el movimiento de nuestro ratón.
Me llegó un mensaje que dice que yo mandé el virus y que puedo estar infectado ¿lo estoy?
Una de las características del Klez (en las versiones E y posteriores), es la de enviarse con cualquier dirección encontrada en la PC infectada, como remitente. De este modo, solo basta que un amigo o cualquier persona tenga nuestra dirección en algún archivo (no necesariamente tiene que ser un mensaje o estar en la libreta de direcciones), para que esa persona al infectarse, envíe mensajes que parezcan ser enviados por nosotros.
De cualquier modo, realice un examen periódico de su sistema para estar seguro de no estar infectado.
Bueno, estoy infectado, ¿cómo limpio mi sistema?
Existen numerosos métodos y herramientas para limpiar nuestro sistema de una infección. Incluso en nuestro artículo sobre el Klez.H se explica un método manual para limpiar el virus de un sistema infectado. Sin embargo, el método que a continuación damos, es una forma práctica y segura de librarnos de esta plaga. Debido a que está planteado para que pueda ser usado por un usuario sin experiencia, tal vez existan acciones redundantes. Pero en este caso, nada de lo que sobra hace daño, sino todo lo contrario.
Veamos los pasos a seguir (IMPORTANTE:
si tiene su computadora conectada en red con otras, desconéctelas
a todas y proceda a limpiarlas en forma individual como se
explica aquí):
1. Proceda a descargar el antivirus F-Prot de nuestro sitio, y a prepararlo en disquetes, incluido un disquete de inicio del sistema operativo, como se indica en este artículo:
Cómo ejecutar F-PROT en un disquete
http://www.vsantivirus.com/fprot-disq.htm
2. Descargue también las herramientas descriptas en este artículo (se da este enlace puesto que pueden surgir modificaciones, y aquí encontrará siempre las últimas versiones de estos productos):
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm
En concreto, baje las herramientas de Symantec y Trend Micro (hemos probado varias, y por diferentes razones -limpieza total del registro, limpieza del virus W32/ElKern liberado por el Klez, tamaño, etc.- seleccionamos estas dos)
3. Copie ambas a una carpeta fácil de acceder o al escritorio de Windows.
4. Provisto del disco de inicio y de los dos disquetes del F-Prot preparados como vimos en el punto 1, proceda a reiniciar su equipo desde disquete y ejecutar F-Prot como se explica en
http://www.vsantivirus.com/fprot-disq.htm
5. Reinicie su sistema EN MODO A PRUEBA DE FALLOS según se explica en este enlace:
http://www.vsantivirus.com/faq-modo-fallo.htm
6. Ejecute las utilidades que descargamos en el punto 2, en el siguiente orden, y sin reiniciar su PC:
a. La de Trend Micro
b. La de Symantec
Ignore los mensajes de advertencia respecto a la ejecución de archivos en modo MS-DOS, e incluso la de reiniciar el sistema.
La herramienta de Trend Micro, además, inmunizará nuestro sistema para evitar nuevas infecciones con el Klez.
7. Luego de ejecutar ambas utilidades, reinicie en modo normal su computadora.
8. Ya en modo normal, ejecute nuevamente ambas utilidades
9. Reinstale el antivirus que el Klez deshabilitó si fuera necesario. Generalmente, una reinstalación sobre el anterior es suficiente.
Consideraciones finales
Si no lo ha hecho, actualice su sistema para tener los últimos parches, como se indica en una de las respuestas anteriores. Es la única forma de que virus como el Klez no puedan sorprenderlo.
También mantenga actualizado su antivirus. Si desea saber si éste se encuentra debidamente instalado, siga las instrucciones de este artículo:
¡Pruebe si realmente su antivirus lo está protegiendo!
http://www.vsantivirus.com/eicar-test.htm
No abra adjuntos no solicitados.
No conteste afirmativamente a ninguna pregunta sobre la ejecución de archivos.
Elimine todo mensaje sospechoso que usted no solicitó.
Luego de borrar los mensajes sospechosos, vacíe la carpeta de Elementos eliminados, y proceda a compactar todas las carpetas (en el Outlook Express, Archivo, Carpetas, Compactar todas las carpetas).
Artículos relacionados
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm
El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm
Klez.H hace públicos nuestros secretos más íntimos
http://www.vsantivirus.com/20-04-02a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|