|
VSantivirus No. 484 - Año 6 - Domingo 4 de noviembre de 2001
W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm
Nombre: W32/Klez.B
Tipo: Gusano de Internet y caballo de Troya
Alias: Troj/Klez.B, TROJ_KLEZ.B, KLEZ.B, W32.Klez
Fecha: 30/oct/01
W32/Klez.B es una variante menor del gusano W32/Klez.A. Transporta una copia comprimida del virus
W98/Elkern.A, el cuál es liberado y ejecutado por el Klez.
El gusano se envía a si mismo a todas las entradas en la libreta de direcciones de Windows (.WAB), en un mensaje con estas características:
Un asunto seleccionado de esta lista:
Hi
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
El archivo adjunto (.EXE), tiene un nombre generado al azar
La dirección de remitente también es creada al azar con algunos caracteres en mayúsculas, y uno de los siguientes dominios: yahoo.com, hotmail.com o sina.com. (Ej: ADIFR@yahoo.com, etc.), o alguna seleccionada de la siguiente lista, incluida a su vez en el código del gusano:
king@21cn.com
flag@21cn.com
super@21cn.com
zhangcheng77@online.sh.cn
broused@online.sh.cn
lbhuangsy@21cn.com
kqlbaby@21cn.com
jiemin@citiz.net
feiyiming@citiz.net
lllwww@online.sh.cn
tomyjiang18@21cn.com
luxianchu@21cn.com
kqlbaby@21cn.com
lin_yuezhi@citiz.net
zhangcheng77@online.sh.cn
zbzwy@21cn.com
sarge2010@21cn.com
El texto del mensaje (en formato HTML) dice:
I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities
How much my year-salary now? NO more than $5,500
What do you think of this fact?
Don't call my names,I have no hostility
Can you help me?
La vulnerabilidad que permite la ejecución de este virus, es la misma que actúa con el
Nimda. Un mensaje con formato HTML, con un archivo adjunto con extensiones MIME (Multipurpose Internet Mail Extensions) del tipo "audio/x-wav" confunden al Internet Explorer, permitiendo la ejecución del enlace, por el simple hecho de visualizar el mensaje (ver
Klez, otro virus que infecta sin abrir adjuntos)
Más detalles sobre su funcionamiento, así como las formas de eliminarlo manualmente, en nuestro informe anterior:
VSantivirus No. 476 - Año 5 - Sábado 27 de octubre 2001
A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm
Fuente: Sophos
Referencias:
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm
Klez.H hace públicos nuestros secretos más íntimos
http://www.vsantivirus.com/20-04-02a.htm
A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm
Virus: W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm
Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm
Virus: W32/Klez.C. Se ejecuta sin abrir ningún adjunto
http://www.vsantivirus.com/klez-c.htm
Virus: W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm
Guía rápida para limpiar un sistema infectado con el Klez.H
http://www.vsantivirus.com/faq-klez.htm
Un consejo para los que están cansados de recibir el Klez
http://www.vsantivirus.com/faq-reglas-klez.htm
El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm
Peligro de virus!. El Klez.E puede borrar sus archivos
http://www.vsantivirus.com/06-03-02.htm
El 6 de mayo el Klez puede borrar todos sus archivos
http://www.vsantivirus.com/02-05-02.htm
¡Cuidado!, el 6 de julio puede perder todos sus archivos
http://www.vsantivirus.com/05-07-02.htm
Variante del Klez puede destruir archivos este sábado
http://www.vsantivirus.com/13-07-02.htm
Klez: la historia de los mensajes que usted no mandó
http://www.vsantivirus.com/klez-spam.htm
E-mail sobre el virus Klez mezcla realidad con ficción
http://www.vsantivirus.com/hoax-klez.htm
Virus: W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm
W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm
W32/Elkern.C (Elkern.D). El "regalo" que deja el Klez.H
http://www.vsantivirus.com/elkern-c.htm
W95/CIH.1049. Destruye el 2 de agosto e infecta al Klez
http://www.vsantivirus.com/cih-1049.htm
W95/CIH.1106. Borra el duro y datos del BIOS cada día 2
http://www.vsantivirus.com/cih-1106.htm
¡Cuidado!. Los viejos virus pueden tener nueva cara
http://www.vsantivirus.com/03-05-02.htm
Los virus y sus variantes: orígenes y diferencias
http://www.vsantivirus.com/pan-virus-y-variantes.htm
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|