|
VSantivirus No. 626 - Año 6 - Lunes 25 de marzo de 2002
El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
¿La conspiración del silencio?
Me extraña (o tal vez no), lo poco que he visto escrito, tanto en las notas de prensa, como en las descripciones de los propios fabricantes de antivirus, sobre una de las características del Klez-E, que con cierta triste y poco meditada ironía podríamos mencionar como "deliciosamente maligna".
Me extraña el silencio, porque es algo difícil de ocultar, siendo además una de las trampas más simples, y al mismo tiempo más pérfidamente destructiva que nunca antes, que yo recuerde, se haya visto. Y cuando hablo de destrucción, no me refiero solo a los archivos de nuestras computadoras (que también lo hace), sino a la destrucción de dos valores que me parecen muy importantes en la lucha contra el flagelo de los virus.
Primero, destruye la reputación de quienes nos dedicamos a mantener alertas a cientos de internautas en su viaje por las peligrosas autopistas de la información. Quienes nos empeñamos en abrir las mentes de usuarios inquietos y desaprensivos (sobre todo noveles), dándole elementos de juicio que le hagan valorar el peligro de descargar cualquier archivo, o hacer doble clic sobre cualquier adjunto recibido, ahora podemos ver como nuestra credibilidad puede irse al tacho de la basura.
Y segundo, y tal vez el punto más importante si logramos sacudirnos los restos de nuestro ego mortalmente herido por lo dicho en el párrafo anterior, es que se le ha dado una reverenda patada en los "cojones" a la credibilidad y a la confianza de muchos involucrados seriamente en la divulgación e investigación antiviral.
La sutil pero destructiva venganza de un virus
¿Y de que estoy hablando?. Pues, de una de las características del Klez-E, que hace que muchos de sus mensajes infectados, sean enviados por un usuario falso. Pero un usuario falso que puede ser cualquiera cuya dirección de correo haya sido capturada por el virus en alguna máquina infectada. De ese modo, usted podría recibir (si es que ya no le ha ocurrido), un mensaje de mi propia persona infectado, ¡que yo no le he enviado!.
¿Se imagina alertas de virus de empresas como McAfee, Kaspersky, Panda, etc., infectadas por el Klez?. La mala noticia es que ya las hay. Nosotros hemos recibido al menos tres de estos mensajes "enviados" por alguna de estas compañías. ¡E incluso hemos recibido mensajes de nosotros mismos infectados por el Klez!...
Conociendo algunas peculiaridades de la mayoría de los internautas, demostrada en la divulgación de falsos virus como el
SULFNBK (ver en el área "Hoaxes"), o de tantos
bulos similares, me extraña que no se hayan propagado historias sobre este tema. Pero de seguro lo habrán.
Por ello me resulta aún más extraño que no se haya publicado más información sobre esta forma de actuar del Klez-E, y que pocas (sino es que ninguna) de las descripciones de los principales fabricantes de antivirus, haya documentado debidamente este punto.
Nuestras únicas armas
Por lo pronto, solo nos queda un arma para luchar contra esta plaga (la cantidad de incidencias del virus ha aumentado en nuestros sistemas de monitoreo, casi un 100% en las últimas semanas, comparado con igual periodo del mes anterior).
Esa arma es la información. Mantener informado con la verdad a los usuarios, es la única herramienta para hacerlos menos vulnerables. Nos gustaría que los fabricantes de antivirus fueran conscientes de esto.
Mientras tanto, lo importante es que recuerde que cualquier conocido puede "enviarle" un mensaje infectado con el Klez.E, incluidos nosotros, sin que realmente el mensaje haya salido de nuestras computadoras, ni que estemos infectados.
Incluso usted mismo puede recibir las quejas de alguien, diciéndole que usted está enviándole mensajes infectados, cuando ello no es así (de cualquier modo, siempre asegúrese de no estar realmente infectado, haciendo un examen periódico de su sistema con uno o más antivirus actualizados).
Pero para estar realmente protegidos, solo nos queda desconfiar más que nunca, de todo mensaje recién recibido, sin importar de quien venga, además de tener los parches correspondientes de nuestro Internet Explorer y Outlook Express.
Cómo protegernos
La única protección efectiva para este gusano, es actualizar el Internet Explorer con el parche al que Microsoft se refiere en su boletín MS01-020 (o MS01-027) (ver Referencias al pie de este artículo).
El gusano llega en un mensaje con formato, generalmente con un tamaño de 100 y pocos Kb, con texto y asunto seleccionados al azar, y un adjunto (no visible con el clásico clip), también variable. El remitente puede ser un usuario infectado, o puede figurar cualquier dirección conocida, usurpada por el virus, sin que el remitente esté infectado.
Valiéndose de una vulnerabilidad en las extensiones MIME, el Internet Explorer (quien ejecuta por defecto todos los mensajes con formatos HTML del Outlook, aunque esto pase desapercibido, debido a que no se abre una pantalla del IE), abre y ejecuta el archivo binario adjunto al correo, pensando se trata de uno de música por ejemplo. MIME (Multipurpose Internet Mail Extension) es un sistema que permite integrar dentro de un mensaje de correo electrónico archivos de imágenes, sonido, programas ejecutables, etc., específicos para determinadas aplicaciones o archivos multimedia. El error consiste en hacer pensar al IE que se trata de un sonido o una imagen y abrirlo sin comprobar. En ese caso, el archivo con el gusano (un EXE), se ejecuta sin advertencia alguna.
Son vulnerables usuarios con Internet Explorer 5.0x y 5.5 sin los parches mencionados.
También puede afectar a usuarios con otros navegadores, aunque en ese caso al abrir el adjunto con un doble clic.
El gusano opera independientemente del cliente del correo, usando sus propias rutinas de SMTP para extenderse, de modo que también son afectados los usuarios que no usen Outlook u Outlook Express (aunque se requiere abrir el adjunto).
Herramienta para limpiar el Klez.E
CLARV es una utilidad creada por Kaspersky Labs para eliminar la infección del Klez (y otros virus, como se explica en el enlace a nuestro sitio).
Siga estos pasos para utilizar CLRAV (*):
1. Descargue CLRAV.COM (66 Kb) de nuestro sitio al escritorio de Windows (por ejemplo):
http://www.vsantivirus.com/util-clrav.htm
2. Haga doble clic sobre el archivo descargado (CLRAV) y siga las instrucciones.
3. Ejecute uno o dos antivirus actualizados
4. Reinicie su PC
5. Vuelva a ejecutar un antivirus actualizado escaneando todos sus discos
Nota: Si su PC está conectado a una red, desconecte cada PC de la red, y repita este proceso EN CADA PC.
(*) CLRAV es Copyright (C) Kaspersky Lab 2000-2002. All rights reserved.
Referencias:
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm
Klez.H hace públicos nuestros secretos más íntimos
http://www.vsantivirus.com/20-04-02a.htm
A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm
Virus: W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm
Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm
Virus: W32/Klez.C. Se ejecuta sin abrir ningún adjunto
http://www.vsantivirus.com/klez-c.htm
Virus: W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm
Guía rápida para limpiar un sistema infectado con el Klez.H
http://www.vsantivirus.com/faq-klez.htm
Un consejo para los que están cansados de recibir el Klez
http://www.vsantivirus.com/faq-reglas-klez.htm
El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm
Peligro de virus!. El Klez.E puede borrar sus archivos
http://www.vsantivirus.com/06-03-02.htm
El 6 de mayo el Klez puede borrar todos sus archivos
http://www.vsantivirus.com/02-05-02.htm
¡Cuidado!, el 6 de julio puede perder todos sus archivos
http://www.vsantivirus.com/05-07-02.htm
Variante del Klez puede destruir archivos este sábado
http://www.vsantivirus.com/13-07-02.htm
Klez: la historia de los mensajes que usted no mandó
http://www.vsantivirus.com/klez-spam.htm
E-mail sobre el virus Klez mezcla realidad con ficción
http://www.vsantivirus.com/hoax-klez.htm
Virus: W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm
W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm
W32/Elkern.C (Elkern.D). El "regalo" que deja el Klez.H
http://www.vsantivirus.com/elkern-c.htm
W95/CIH.1049. Destruye el 2 de agosto e infecta al Klez
http://www.vsantivirus.com/cih-1049.htm
W95/CIH.1106. Borra el duro y datos del BIOS cada día 2
http://www.vsantivirus.com/cih-1106.htm
¡Cuidado!. Los viejos virus pueden tener nueva cara
http://www.vsantivirus.com/03-05-02.htm
Los virus y sus variantes: orígenes y diferencias
http://www.vsantivirus.com/pan-virus-y-variantes.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|