|
VSantivirus No. 476 - Año 5 - Sábado 27 de octubre 2001
A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm
Nombre: W32/Klez.A
Tipo: Gusano de Internet
Destructivo: Si
Alias: TROJ_KLEZ.A, W32.Klez, KLEZA.A, W32/Klez-mm, Klaz, W32/Klez@MM, W32.Poverty.A@mm
Fecha: 26/oct/01
Origen: Asia
Tamaño: 57,345 Bytes
Este destructivo gusano, escrito en Visual C, se propaga a través del correo electrónico, en mensajes con formato HTML con un adjunto de nombre seleccionado al azar y con extensión .EXE. Incluye una copia comprimida de otro virus,
W98/Elkern, el cuál sólo funciona correctamente en computadoras con Windows 98 o Me instalado (no Windows 95).
Si la fecha actual de ejecución, corresponde a un mes de número impar (enero, marzo, etc.) y el día es 13, el virus inicia una rutina destructiva (payload), la cuál examina todas las unidades de disco locales y las compartidas en red, y corrompe todos los archivos de dichas unidades con datos aleatorios, dejándolos irrecuperables (sin posibilidad de ser limpiados por un antivirus).
W32/Klez, explota además la misma vulnerabilidad del virus Nimda, lo que significa que puede infectarnos sin necesidad de abrir el adjunto, por la simple acción de leer el mensaje o de visualizarlo en la vista previa.
Lo primero que el gusano crea en la máquina que acaba de infectar, son dos archivos, con los atributos de ocultos (+H) en la carpeta
C:\Windows\System: Krn132.exe (una copia del gusano), y
Wqk.exe (un segundo virus conocido como Elkern.A):
C:\Windows\System\Krn132.exe
C:\Windows\System\Wqk.exe
Luego, se modifican las siguientes entradas en el registro de Windows, para que ambos archivos se ejecuten en el reinicio del
sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Wqk = %System%\Wqk.exe
Krn132 = %System%\Krn132.exe
La variable %System% corresponde por defecto (en Windows 9x, Me), a esta carpeta:
C:\Windows\System
Mecanismos de propagación
Una vez infectado el sistema, el gusano puede enviarse a si mismo a todas las direcciones de la libreta de Windows (Windows Address Book, WAB). Incluye el propio virus adjunto.
El mensaje puede tener cualquier remitente, asunto, texto, e incluso cualquier nombre de archivo adjunto. Esto aumenta las posibilidades de propagación, ya que es muy difícil mantener un patrón común de identificación. Esto sumado al hecho de su ejecución sin siquiera abrir el adjunto, lo colocan en una posición de virus por el que hay tener especiales cuidados.
Estos son algunos de los datos que puede contener el mensaje:
Remitente:
Puede ser un nombre con algunas letras (en mayúscula) seleccionadas al azar, y con el dominio
yahoo.com, hotmail.com o sina.com (Ej: ADIFR@yahoo.com, etc.), o alguna seleccionada de la siguiente lista, incluida a su vez en el código del gusano:
king@21cn.com
flag@21cn.com
super@21cn.com
zhangcheng77@online.sh.cn
broused@online.sh.cn
lbhuangsy@21cn.com
kqlbaby@21cn.com
jiemin@citiz.net
feiyiming@citiz.net
lllwww@online.sh.cn
tomyjiang18@21cn.com
luxianchu@21cn.com
kqlbaby@21cn.com
lin_yuezhi@citiz.net
zhangcheng77@online.sh.cn
zbzwy@21cn.com
sarge2010@21cn.com
Asunto:
Hi
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
Texto del mensaje:
I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?
Archivo adjunto:
nombre_al_azar.EXE (57,345 bytes).
Para enviar los mensajes, el gusano genera una lista de servidores SMTP al azar, utilizando el nombre del dominio existente en las direcciones de
envío, y añadiendo el prefijo "smtp".
Por ejemplo, si una de las direcciones recogidas es nombre@midominio.com, el gusano intenta con:
smtp.midominio.com.
También se puede propagar generando numerosas copias de si mismo en la carpeta de los archivos temporales de Windows (por defecto:
C:\Windows\TEMP). Estas copias poseen nombres seleccionados al azar, y el gusano intenta copiarlos a todas las carpetas compartidas con permiso de escritura. El gusano busca archivos con extensiones:
TXT, HTM, DOC, JPG, BMP, XLS, CPP, HTML, MPG, MPEG, y los infecta con su propio código, y una doble extensión
(archivo.XLS.EXE, archivo.DOC.EXE, etc.). Esta acción es repetida cada 8 horas.
El gusano también intenta deshabilitar el escaneo de los antivirus a las unidades de disco locales y en red, realizando él un escaneo de
esas unidades.
Al ejecutarse, el virus intenta esconderse de la lista de aplicaciones. Además, monitorea las aplicaciones que se ejecutan. Ese es el método usado para encontrar algún antivirus intentando escanear, y finalizar entonces su proceso, realizando el propio virus un escaneo.
Sin embargo, debido a un error de programación, solo escanea la unidad
A:. Esta acción falla, debido a que esta unidad, normalmente está asignada a la disquetera, y no es una unidad de disco duro o de un recurso de red.
Para limpiar manualmente un sistema infectado
1. Borre todos los mensajes conteniendo lo que se detalló
anteriormente.
2. Restaure en el registro, los cambios en la configuración del sistema. Para ello, seleccione Inicio, Ejecutar, escriba
REGEDIT y pulse Enter.
3. En el panel de la izquierda, seleccione (pulsando "+") la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
4. Pinche sobre RUN y en el panel de la derecha, busque este valor:
Wqk
5. Pulse sobre WQK y pulse la tecla SUPR o suprimir. Confirme el borrado de esa entrada.
6. En el panel de la derecha, busque este valor:
Krn132
5. Pulse sobre WKrn132 y pulse la tecla SUPR o suprimir. Confirme el borrado de esa entrada.
6. Salga del editor de registro, y reinicie su sistema.
7. Examine todo su PC con uno más antivirus al día, y borre todos los archivos relacionados con el virus
W32/Klez.A.
Fuente: Message Labs, Symantec, Panda Software, McAfee, AntiVirus eXpert, F-Prot
Referencias:
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm
Klez.H hace públicos nuestros secretos más íntimos
http://www.vsantivirus.com/20-04-02a.htm
A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm
Virus: W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm
Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm
Virus: W32/Klez.C. Se ejecuta sin abrir ningún adjunto
http://www.vsantivirus.com/klez-c.htm
Virus: W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm
Guía rápida para limpiar un sistema infectado con el Klez.H
http://www.vsantivirus.com/faq-klez.htm
Un consejo para los que están cansados de recibir el Klez
http://www.vsantivirus.com/faq-reglas-klez.htm
El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm
Peligro de virus!. El Klez.E puede borrar sus archivos
http://www.vsantivirus.com/06-03-02.htm
El 6 de mayo el Klez puede borrar todos sus archivos
http://www.vsantivirus.com/02-05-02.htm
¡Cuidado!, el 6 de julio puede perder todos sus archivos
http://www.vsantivirus.com/05-07-02.htm
Variante del Klez puede destruir archivos este sábado
http://www.vsantivirus.com/13-07-02.htm
Klez: la historia de los mensajes que usted no mandó
http://www.vsantivirus.com/klez-spam.htm
E-mail sobre el virus Klez mezcla realidad con ficción
http://www.vsantivirus.com/hoax-klez.htm
Virus: W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm
W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm
W32/Elkern.C (Elkern.D). El "regalo" que deja el Klez.H
http://www.vsantivirus.com/elkern-c.htm
W95/CIH.1049. Destruye el 2 de agosto e infecta al Klez
http://www.vsantivirus.com/cih-1049.htm
W95/CIH.1106. Borra el duro y datos del BIOS cada día 2
http://www.vsantivirus.com/cih-1106.htm
¡Cuidado!. Los viejos virus pueden tener nueva cara
http://www.vsantivirus.com/03-05-02.htm
Los virus y sus variantes: orígenes y diferencias
http://www.vsantivirus.com/pan-virus-y-variantes.htm
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de
"Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se
indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|