• Algunas herramientas que limpian el Klez (todas las versiones) de un sistema infectado

Básicamente se trata de una modificación del Klez.A. Para propagarse se copia a si mismo utilizando su propia rutina SMTP para enviar sus mensajes infectados.

Este gusano hace uso de la vulnerabilidad conocida como "Incorrect MIME Header vulnerability" que afecta al Internet Explorer 5.01 o 5.5 que no han sido actualizados. El gusano posee la habilidad de tomar diferentes personalidades en el campo "De:", logrando que el mensaje parezca ser enviado por cualquier persona, aunque esta nunca haya sido infectada (Ver Referencias).

Klez.H (G o I para algunos antivirus), puede además copiarse a si mismo a todas las unidades de disco mapeadas, locales y de red, con nombres aleatorios y una doble extensión (por ejemplo NOMBRE.TXT.EXE o NOMBRE.TXT.RAR).

El gusano puede llegar a nuestra casilla de correo en un mensaje con una gran variedad de asuntos y textos. Esto complica su identificación a simple vista, y además es necesario tener en cuenta que algunos de esos mensajes pueden simular que provienen de alguna empresa de antivirus (Symantec, Sophos, F-Secure, Trend Micro, etc.).

Estos son algunos de los "Asuntos" incorporados en esos mensajes:

A very funny website 
1996 Microsoft Corporation 
Hello,honey 
Initing esdi 
Editor of PC Magazine. 
Worm Klez.E Immunity 
Some questions 
Telephone number

El gusano puede infectarnos tanto por abrir el adjunto con un doble clic, como por visualizar el mensaje, tanto en la vista normal al leerlo, como al verlo en el panel de vista previa).

Una de sus primeras acciones es modificar el registro, para posibilitar su carga y ejecución automática en cada nuevo reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Wink[caracteres al azar] = Wink[caracteres al azar].exe

El gusano intenta además, deshabilitar algunos productos antivirus presentes en la computadora infectada, así como a virus como el Nimda o el CodeRed, si alguno de ellos estuviera activo en esa computadora.

El gusano puede deshabilitar algunos procesos que se están corriendo en la computadora infectada, y en ocasiones borra los archivos asociados a estos procesos, por lo general pertenecientes a algunos antivirus:

_AVP32_AVPCC 
NOD32 
NPSSVC 
NRESQ32 
NSCHED32 
NSCHEDNT 
NSPLUGIN 
NAV 
NAVAPSVC 
NAVAPW32 
NAVLU32 
NAVRUNR 
NAVW32 
_AVPM 
ALERTSVC 
AMON 
AVP32 
AVPCC 
AVPM 
N32SCANW 
NAVWNT 
ANTIVIR 
AVPUPD 
AVGCTRL 
AVWIN95 
SCAN32 
VSHWIN32 
F-STOPW 
F-PROT95 
ACKWIN32 
VETTRAY 
VET95 
SWEEP95 
PCCWIN98 
IOMON98 
AVPTC 
AVE32 
AVCONSOL 
FP-WIN 
DVP95 
F-AGNT95 
CLAW95 
NVC95 
*SCAN* (cualquier caracter en el lugar de los asteriscos)
*VIRUS* (cualquier caracter en el lugar de los asteriscos)
LOCKDOWN2000 
Norton 
Mcafee 
Antivir 
TASKMGR

El gusano busca y borra también cualquier coincidencia en la lista anterior, que sea encontrada en la siguiente clave del registro (esto evita que el producto borrado se intente cargar en el próximo reinicio de Windows):

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

También borra algunos datos de prueba de integridad generados por algunos de esos productos:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT

El gusano busca luego en la libreta de direcciones de Windows, la base de datos del ICQ y en archivos locales, direcciones electrónicas a las cuáles enviarse, consigo mismo como adjunto.

Contiene sus propias rutinas de servidor SMTP, e intenta utilizar algunos servidores prestablecidos en su código para el envío.

La línea de asunto, el cuerpo del mensaje y el nombre del archivo adjunto son seleccionados al azar.

La dirección del remitente también es seleccionada al azar, usándose las mismas direcciones que el gusano busca en la máquina infectada. Eso puede hacer que cualquiera parezca estar enviando ese mensaje, en ocasiones hasta uno mismo es capaz de recibir un mensaje que parece provenir de su propia máquina, cuando ello no es así.

El gusano busca direcciones de correo en archivos con las siguientes extensiones:

.exe
.scr
.pif
.bat
.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf

El mensaje que usa el gusano para propagarse, esta compuesto con las siguientes partes seleccionadas al azar:

El asunto puede tener una de estas formas:

Undeliverable mail--"[Palabra al azar]"
Returned mail--"[Palabra al azar]"
a [Palabra al azar] [Palabra al azar] game
a [Palabra al azar] [Palabra al azar] tool
a [Palabra al azar] [Palabra al azar] website
a [Palabra al azar] [Palabra al azar] patch
[Palabra al azar] removal tools
how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures

La [Palabra al azar] puede ser una de las siguientes:

new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky

El texto del mensaje, es creado también al azar.

Un ejemplo:

Asunto: Worm Klez.E immunity

Texto:
Klez.E is the most common world-wide spreading worm.
It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me.

Note en este caso, que el gusano intenta hacer creer que el propio virus es una cura para el Klez. ¡NO ABRA JAMAS ARCHIVOS QUE USTED NO PIDIO!... aunque sean supuestas curas de este virus.

Klez.H también puede infectar ejecutables creando una copia oculta del archivo original, y luego sobrescribiendo el archivo original por una copia del propio gusano.

La copia del archivo original está encriptada, pero no contiene código malicioso alguno, estando limpia del virus.

El nombre del archivo oculto es el mismo del archivo original, pero con una extensión diferente, seleccionada al azar.

El virus W32/Elkern.D

El gusano libera un archivo con nombre al azar, generalmente en la carpeta C:\Program Files (aún en la versión en español de Windows), de unos 10 Kb de tamaño, y que se trata del virus W32/Elkern (en una nueva variante). Este virus es capaz de infectar archivos locales y en unidades de red con carpetas compartidas. También deshabilita la protección de los archivos, infectando al propio EXPLORER.EXE en memoria (por ello el procedimiento de limpieza debe hacerse en Modo a prueba de fallos).

El siguiente texto está presente en el código del virus, pero el mismo no es mostrado:

Win32 Klez V2.01 & Win32 Foroux V1.0 
Copyright 2002,made in Asia 
About Klez V2.01: 
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload. About Win32 Foroux (plz keep the name,thanx) 
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP 
2,With very interesting feature.Check it!
3,No any payload.No any optimization 
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing

Se sugiere proceder con cuidado al recibir correo no solicitado, y actualizar el software usado para navegar y bajar correo.

Los parches que evitan la ejecución automática de este virus simplemente por ver un mensaje infectado pueden ser descargados de este enlace:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Algunas herramientas que limpian el Klez (todas las versiones) de un sistema infectado:

Ver
Guía rápida para limpiar un sistema infectado con el Klez.H http://www.vsantivirus.com/faq-klez.htm

CLRAV de Kaspersky Labs
Herramienta para limpiar el Klez

Symantec (quita el Klez y el W32/ElKern) - Actualizado 20/abr/02
http://securityresponse.symantec.com/avcenter/FixKlez.com

Trend Micro (quita el Klez y el W32/ElKern) - Actualizado 20/abr/02
http://www.antivirus.com/vinfo/security/fix_worm_klez_3.11.zip

Eliminación manual del Klez

Para eliminar manualmente el virus de un sistema infectado, siga estos pasos:

1. Desconecte sus computadoras de la red en el caso de que estuvieran conectadas a una.

2. Reinicie la computadora en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

3. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

4. Borre cualquiera de las siguiente claves encontradas en la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\run

5. Pinche en la carpeta "Run" y borre en la ventana de la derecha, cualquier entrada con estas referencias:

krn132
wqk
WinSvc
Wink[caracteres al azar]

En Windows NT/2000

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services

Pinche en la carpeta "Services" y busque y borre estas referencias en la ventana de la derecha:

KernelSvc
Krn132
Wink[caracteres al azar]

En Windows 2000, borre lo que aparezca dentro de la ventana "AppInit_DLLs"

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Windows
\AppInit_DLLs

En todos los sistemas:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services

Pinche en la carpeta "Services" y busque y borre las siguientes referencias en la ventana de la derecha: 

KernelSvc
Krn132
Wink[caracteres al azar]

6. Borre estos archivos de su PC:

C:\Windows\System\krn132.exe
C:\Windows\System\winsvc.exe
C:\Windows\System\wink[caracteres al azar].exe

También borre en Windows 95/98/ME estos archivos:

C:\Windows\System\wqk.exe

Y en Windows 2000 borre estos archivos:

C:\WinNT\System32\wqk.dll

7. Reinicie su computadora y ejecute uno o más antivirus al día. Se sugiere utilizar F-Prot ejecutándolo desde un disquete como se explica aquí:

Vea: Cómo ejecutar F-PROT en un disquete

8. Reitere estos pasos en todas las computadoras en red, antes de volver a conectarlas.



Referencias:

W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm

Klez.H hace públicos nuestros secretos más íntimos
http://www.vsantivirus.com/20-04-02a.htm

A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm

Virus: W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm

Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm

Virus: W32/Klez.C. Se ejecuta sin abrir ningún adjunto
http://www.vsantivirus.com/klez-c.htm

Virus: W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm

Guía rápida para limpiar un sistema infectado con el Klez.H
http://www.vsantivirus.com/faq-klez.htm

Un consejo para los que están cansados de recibir el Klez
http://www.vsantivirus.com/faq-reglas-klez.htm

El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm

Peligro de virus!. El Klez.E puede borrar sus archivos
http://www.vsantivirus.com/06-03-02.htm

El 6 de mayo el Klez puede borrar todos sus archivos
http://www.vsantivirus.com/02-05-02.htm

¡Cuidado!, el 6 de julio puede perder todos sus archivos
http://www.vsantivirus.com/05-07-02.htm

Variante del Klez puede destruir archivos este sábado
http://www.vsantivirus.com/13-07-02.htm

Klez: la historia de los mensajes que usted no mandó
http://www.vsantivirus.com/klez-spam.htm

E-mail sobre el virus Klez mezcla realidad con ficción
http://www.vsantivirus.com/hoax-klez.htm

Virus: W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm

W32/Elkern.C (Elkern.D). El "regalo" que deja el Klez.H
http://www.vsantivirus.com/elkern-c.htm

W95/CIH.1049. Destruye el 2 de agosto e infecta al Klez
http://www.vsantivirus.com/cih-1049.htm

W95/CIH.1106. Borra el duro y datos del BIOS cada día 2
http://www.vsantivirus.com/cih-1106.htm

¡Cuidado!. Los viejos virus pueden tener nueva cara
http://www.vsantivirus.com/03-05-02.htm

Los virus y sus variantes: orígenes y diferencias
http://www.vsantivirus.com/pan-virus-y-variantes.htm

Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com