Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión
 
VSantivirus No. 559 - Año 6 - Viernes 18 de enero de 2002

 W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión
http://www.vsantivirus.com/klez-e.htm

Nombre: W32/Klez.E
Tipo: Gusano de Internet e infector de archivos
Alias: Klez.E, I-Worm.Klez.E, Stemdil, Klez.D, TROJ_KLEZ.E
Fecha: 17/ene/02
Fuente: F-Secure, Symantec, Panda, Sophos

¡Peligro de virus!. El Klez.E puede borrar sus archivos (más)
El virus que destruyó nuestra credibilidad (más)
Klez: la historia de los mensajes que usted no mandó (más)

Variantes:
  • W32/Klez.F
  • W32/Klez.G

Las diferencias con respeto al Klez.E son menores y sin importancia.

Herramientas:

Descripción:

Klez.E (Klez.D para algunos antivirus) es una nueva variante del Klez. Descubierto el 17 de enero de 2002, de acuerdo al autor del virus, se trata de una auténtica "versión 2.0", que agrega características e ideas no presentes en las versiones anteriores. Sin embargo, aún conserva algunos errores que presentaba en estas.

Básicamente, es un gusano de envío masivo a través de Internet, en mensajes con asuntos y textos totalmente diferentes unos de otros, seleccionados al azar. Posee la misma característica de las versiones anteriores, de poder ejecutarse sin necesidad de abrir ningún adjunto, por el simple hecho de leer un mensaje infectado (o por verlo en el panel de vista previa).

Esta versión, también es capaz de copiarse a todas las unidades de red compartidas.

Ahora puede infectar por si mismo a otros ejecutables, además de liberar una nueva versión del virus W32/Elkern.

También es capaz de eliminar diferente software antivirus y de seguridad, instalados en la computadora infectada.

Las principales diferencias con las versiones anteriores son:

1. Se instala en el directorio SYSTEM de WINDOWS con un nombre como WINKxxxx.EXE, por ejemplo. Las "xxxx" corresponden a 2 o 3 letras seleccionadas al azar por el gusano. El registro es modificado para obligar a su ejecución en el reinicio de Windows.

2. El gusano ahora es realmente un virus, y puede infectar archivos .EXE, copiando su código al comienzo del archivo infectado. Cuando infecta un archivo .EXE, el gusano crea un archivo temporal con el mismo nombre del archivo infectado, pero con una extensión seleccionada al azar.

Encripta el cabezal del programa infectado. Cuando un archivo infectado se ejecuta, el gusano descomprime el código puro del archivo host al disco duro, con el nombre original más la seudo extensión MP8, y lo ejecuta. Cuando el programa finaliza, el gusano borra ese archivo temporal.

No infecta archivos con los siguientes nombres:

EXPLORER
CMMGR
MSIMN
ICWCONN
WINZIP

3. El virus posee capacidad de propagación en redes. La nueva versión del Klez, enumera los recursos de red disponibles, y se copia a si mismo a las unidades remotas dos veces en cada una. Una vez como un archivo ejecutable con simple o doble extensión, y la segunda vez como un archivo comprimido RAR, que puede tener también una o dos extensiones. El archivo RAR contiene el ejecutable del gusano con uno de los siguientes nombres:

setup
install
demo
snoopy
picacu
kitty
play
rock

La primera extensión del archivo RAR o la del ejecutable del gusano puede ser una de estas:

.txt
.htm
.html
.wab
.doc
.xls
.jpg
.cpp
.c
.pas
.mpg
.mpeg
.bak
.mp3

La segunda o la única extensión del ejecutable del gusano puede ser:

.exe
.scr
.pif
.bat

El nombre del archivo RAR así como el del ejecutable del gusano, puede ser randómico o tomado de otro archivo que el virus encontró previamente en el sistema infectado. Algunos ejemplos: QQ.PAS.EXE, KERNEL.MP3.PIF, DOCUMENT.SCR, etc.

4. Mata las tareas del software antivirus y de seguridad, así como las creadas por otros gusanos que pudieran estar activos (como Nimda, Sircam, Funlove y CodeRed).

Abre los procesos activos, y busca textos específicos en sus nombres. Cada vez que encuentra coincidencias, el gusano termina ese proceso. Los textos buscados son los siguientes:

Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32

Además, finaliza los procesos que tengan los siguientes nombres:

_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR

5. Borra del registro, las claves de autoarranque de diferente software de seguridad y programas antivirus, deshabilitando este software o parte de él, en el próximo reinicio de Windows.

6. Altera los archivos de chequeo de integridad y las bases de datos de algunos antivirus, que tengan los siguientes nombres:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT

7. Libera una nueva versión del virus Elkern ("version 1.1" según su autor), identificado como W32/Klez.b.

8. Puede corromper los archivos binarios ejecutables y los de datos involucrados.

9. Contiene el siguiente texto en su código, que nunca es mostrado:

Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious
virus,Funlove,Sircam,Nimda,CodeRed and even include W32.Klez 1.X.
2.Well paid jobs are wanted
3.Poor life should be unblessed
4.Don't accuse me.Please accuse the unfair sh*t world

10. Los mensajes infectados enviados por esta nueva versión del Klez, se generan por medio de complicadas reglas, lo que hace posible la creación de una gran cantidad de mensajes todos diferentes, lo que dificulta su detección a simple vista. Además, puede crear frases como:

The attachment is a very dangerous virus that spread trough e-mail.

The file is a special dangerous virus that can infect on Win98/Me/2000/XP.

El cuerpo del mensaje, también puede estar en blanco.

Los asuntos, además, pueden ser seleccionados de esta lista:

How are you
Let's be friends
Darling
Don't drink too much
Your password
Honey 
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos!
japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
Spice girls' vocal concert
Japanese lass' sexy pictures

Alrededor de fechas especiales, puede enviar mensajes acordes a ellas, como:

Happy Christmas
Happy New Year

Los adjuntos, pueden tener cualquiera de estas extensiones:

.PIF
.SCR
.EXE

Cómo las variantes anteriores del Klez, ésta utiliza la vulnerabilidad llamada "Incorrect MIME Header" (MS01-020, MS01-027) que permite la ejecución automática de los adjuntos mientras el mensaje simplemente es leído, o visto en el panel de vista previa.

Los destinatarios de los mensajes conteniendo archivos adjuntos con una copia del virus, que envía el gusano, son coleccionados de la libreta de direcciones de Windows (.WAB) y de la base de datos del ICQ si corresponde.

Klez utiliza su propia rutina SMTP de modo que puede enviar los mensajes sin recurrir a ningún programa de correo instalado en la computadora infectada.

Los mensajes enviados tendrán como remitentes direcciones tomadas de la siguiente lista:

pw246@columbia.edu
queen@helix.com.hk
yaya@wfc.com.tw
atoz@2911.net
anti@helix.com.hk
graph@helix.com.hk
reet@verizon.net
sani@2911.net
santurn@verizon.net
andy@verizon.net
little@hitel.net
gigi@helix.com.hk
bet@helix.com.hk
lily@88win.com
sun@verizon.net
linda@verizon.net
raise@wfc.com.tw
rainrainman@hongkong.com
karala@hongkong.com
sammychen@wfc.com.tw
flywind@wfc.com.tw
suck@wfc.com.tw
urlove@wfc.com.tw
tutu@88win.com
cheu@2911.net
xyz@2911.net
pet@2911.net
girl@edirect168.com
littlecat@hongkong.com
panshugang@chinese.com
pipti@21cn.com
certpass@21cn.com
powerhero@263.net
CR7269CH@terra.es
RUBENSOTOAGUI@terra.es
ACAMDR@terra.es
ol-petech@terra.es
ROSANAMOLTO@terra.es
MANUEL23@terra.es
cristian_soto@terra.es
carlos_nuevo@terra.es

Descripción técnica

Cuando se ejecuta por primera vez, el gusano se copia a si mismo a la carpeta de sistema de Windows (C:\Windows\System o C:\Winnt\System32 por ejemplo), con el nombre de WINKxxx.EXE donde las xxxx son caracteres al azar.

También modifica el registro de Windows para ejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinkXXX = C:\Windows\System\WinkXXX.exe

Forma manual de eliminar el gusano

1. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre las entradas que coincidan con las siguientes (la segunda corresponde al virus W32/Elkern.B que acompaña al Klez, ver http://www.vsantivirus.com/elkern-b.htm ):

WinkXXX        C:\Windows\System\WinkXXX.exe
WQK         C:\Windows\System\Wqk.exe

4. Márquelas, recordando que en el caso de las "XXX" puede ser cualquier serie de caracteres al azar, y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar cada clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

7. Ejecute uno o dos antivirus al día.


Referencias:

W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm

Klez.H hace públicos nuestros secretos más íntimos
http://www.vsantivirus.com/20-04-02a.htm

A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm

Virus: W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm

Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm

Virus: W32/Klez.C. Se ejecuta sin abrir ningún adjunto
http://www.vsantivirus.com/klez-c.htm

Virus: W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm

Guía rápida para limpiar un sistema infectado con el Klez.H
http://www.vsantivirus.com/faq-klez.htm

Un consejo para los que están cansados de recibir el Klez
http://www.vsantivirus.com/faq-reglas-klez.htm

El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm

Peligro de virus!. El Klez.E puede borrar sus archivos
http://www.vsantivirus.com/06-03-02.htm

El 6 de mayo el Klez puede borrar todos sus archivos
http://www.vsantivirus.com/02-05-02.htm

¡Cuidado!, el 6 de julio puede perder todos sus archivos
http://www.vsantivirus.com/05-07-02.htm

Variante del Klez puede destruir archivos este sábado
http://www.vsantivirus.com/13-07-02.htm

Klez: la historia de los mensajes que usted no mandó
http://www.vsantivirus.com/klez-spam.htm

E-mail sobre el virus Klez mezcla realidad con ficción
http://www.vsantivirus.com/hoax-klez.htm

Virus: W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm

W32/Elkern.C (Elkern.D). El "regalo" que deja el Klez.H
http://www.vsantivirus.com/elkern-c.htm

W95/CIH.1049. Destruye el 2 de agosto e infecta al Klez
http://www.vsantivirus.com/cih-1049.htm

W95/CIH.1106. Borra el duro y datos del BIOS cada día 2
http://www.vsantivirus.com/cih-1106.htm

¡Cuidado!. Los viejos virus pueden tener nueva cara
http://www.vsantivirus.com/03-05-02.htm

Los virus y sus variantes: orígenes y diferencias
http://www.vsantivirus.com/pan-virus-y-variantes.htm

Grave vulnerabilidad en extensiones MIME en IE 
http://www.vsantivirus.com/vulms01-020.htm

Nuevas vulnerabilidades en IE (MS01-027)
http://www.vsantivirus.com/vulms01-027.htm

Guía de supervivencia: Consejos para una computación segura
http://www.vsantivirus.com/guia-de-supervivencia.htm


Información adicional
Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS