Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

A fondo: W32/Klez, como el Nimda, nos infecta al verlo
 
VSantivirus No. 476 - Año 5 - Sábado 27 de octubre 2001

A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm

Nombre: W32/Klez.A
Tipo: Gusano de Internet
Destructivo: Si
Alias: TROJ_KLEZ.A, W32.Klez, KLEZA.A, W32/Klez-mm, Klaz, W32/Klez@MM, W32.Poverty.A@mm
Fecha: 26/oct/01
Origen: Asia
Tamaño: 57,345 Bytes

Este destructivo gusano, escrito en Visual C, se propaga a través del correo electrónico, en mensajes con formato HTML con un adjunto de nombre seleccionado al azar y con extensión .EXE. Incluye una copia comprimida de otro virus, W98/Elkern, el cuál sólo funciona correctamente en computadoras con Windows 98 o Me instalado (no Windows 95).

Si la fecha actual de ejecución, corresponde a un mes de número impar (enero, marzo, etc.) y el día es 13, el virus inicia una rutina destructiva (payload), la cuál examina todas las unidades de disco locales y las compartidas en red, y corrompe todos los archivos de dichas unidades con datos aleatorios, dejándolos irrecuperables (sin posibilidad de ser limpiados por un antivirus).

W32/Klez, explota además la misma vulnerabilidad del virus Nimda, lo que significa que puede infectarnos sin necesidad de abrir el adjunto, por la simple acción de leer el mensaje o de visualizarlo en la vista previa.

Lo primero que el gusano crea en la máquina que acaba de infectar, son dos archivos, con los atributos de ocultos (+H) en la carpeta C:\Windows\System: Krn132.exe (una copia del gusano), y Wqk.exe (un segundo virus conocido como Elkern.A):

C:\Windows\System\Krn132.exe
C:\Windows\System\Wqk.exe

Luego, se modifican las siguientes entradas en el registro de Windows, para que ambos archivos se ejecuten en el reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Wqk = %System%\Wqk.exe
Krn132 = %System%\Krn132.exe

La variable %System% corresponde por defecto (en Windows 9x, Me), a esta carpeta:

C:\Windows\System

Mecanismos de propagación

Una vez infectado el sistema, el gusano puede enviarse a si mismo a todas las direcciones de la libreta de Windows (Windows Address Book, WAB). Incluye el propio virus adjunto.

El mensaje puede tener cualquier remitente, asunto, texto, e incluso cualquier nombre de archivo adjunto. Esto aumenta las posibilidades de propagación, ya que es muy difícil mantener un patrón común de identificación. Esto sumado al hecho de su ejecución sin siquiera abrir el adjunto, lo colocan en una posición de virus por el que hay tener especiales cuidados.

Estos son algunos de los datos que puede contener el mensaje:

Remitente:

Puede ser un nombre con algunas letras (en mayúscula) seleccionadas al azar, y con el dominio yahoo.com, hotmail.com o sina.com (Ej: ADIFR@yahoo.com, etc.), o alguna seleccionada de la siguiente lista, incluida a su vez en el código del gusano:

king@21cn.com
flag@21cn.com
super@21cn.com
zhangcheng77@online.sh.cn
broused@online.sh.cn
lbhuangsy@21cn.com
kqlbaby@21cn.com
jiemin@citiz.net
feiyiming@citiz.net
lllwww@online.sh.cn
tomyjiang18@21cn.com
luxianchu@21cn.com
kqlbaby@21cn.com
lin_yuezhi@citiz.net
zhangcheng77@online.sh.cn
zbzwy@21cn.com
sarge2010@21cn.com

Asunto:

Hi
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger

Texto del mensaje:

I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?

Archivo adjunto:

nombre_al_azar.EXE (57,345 bytes).

Para enviar los mensajes, el gusano genera una lista de servidores SMTP al azar, utilizando el nombre del dominio existente en las direcciones de envío, y añadiendo el prefijo "smtp".

Por ejemplo, si una de las direcciones recogidas es nombre@midominio.com, el gusano intenta con: smtp.midominio.com.

También se puede propagar generando numerosas copias de si mismo en la carpeta de los archivos temporales de Windows (por defecto: C:\Windows\TEMP). Estas copias poseen nombres seleccionados al azar, y el gusano intenta copiarlos a todas las carpetas compartidas con permiso de escritura. El gusano busca archivos con extensiones: TXT, HTM, DOC, JPG, BMP, XLS, CPP, HTML, MPG, MPEG, y los infecta con su propio código, y una doble extensión (archivo.XLS.EXE, archivo.DOC.EXE, etc.). Esta acción es repetida cada 8 horas.

El gusano también intenta deshabilitar el escaneo de los antivirus a las unidades de disco locales y en red, realizando él un escaneo de esas unidades.

Al ejecutarse, el virus intenta esconderse de la lista de aplicaciones. Además, monitorea las aplicaciones que se ejecutan. Ese es el método usado para encontrar algún antivirus intentando escanear, y finalizar entonces su proceso, realizando el propio virus un escaneo.

Sin embargo, debido a un error de programación, solo escanea la unidad A:. Esta acción falla, debido a que esta unidad, normalmente está asignada a la disquetera, y no es una unidad de disco duro o de un recurso de red.

Para limpiar manualmente un sistema infectado

1. Borre todos los mensajes conteniendo lo que se detalló anteriormente.

2. Restaure en el registro, los cambios en la configuración del sistema. Para ello, seleccione Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

3. En el panel de la izquierda, seleccione (pulsando "+") la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

4. Pinche sobre RUN y en el panel de la derecha, busque este valor:

Wqk

5. Pulse sobre WQK y pulse la tecla SUPR o suprimir. Confirme el borrado de esa entrada.

6. En el panel de la derecha, busque este valor:

Krn132

5. Pulse sobre WKrn132 y pulse la tecla SUPR o suprimir. Confirme el borrado de esa entrada.

6. Salga del editor de registro, y reinicie su sistema.

7. Examine todo su PC con uno más antivirus al día, y borre todos los archivos relacionados con el virus W32/Klez.A.


Fuente: Message Labs, Symantec, Panda Software, McAfee, AntiVirus eXpert, F-Prot



Referencias:

W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm

Klez.H hace públicos nuestros secretos más íntimos
http://www.vsantivirus.com/20-04-02a.htm

A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm

Virus: W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm

Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm

Virus: W32/Klez.C. Se ejecuta sin abrir ningún adjunto
http://www.vsantivirus.com/klez-c.htm

Virus: W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm

Guía rápida para limpiar un sistema infectado con el Klez.H
http://www.vsantivirus.com/faq-klez.htm

Un consejo para los que están cansados de recibir el Klez
http://www.vsantivirus.com/faq-reglas-klez.htm

El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm

Peligro de virus!. El Klez.E puede borrar sus archivos
http://www.vsantivirus.com/06-03-02.htm

El 6 de mayo el Klez puede borrar todos sus archivos
http://www.vsantivirus.com/02-05-02.htm

¡Cuidado!, el 6 de julio puede perder todos sus archivos
http://www.vsantivirus.com/05-07-02.htm

Variante del Klez puede destruir archivos este sábado
http://www.vsantivirus.com/13-07-02.htm

Klez: la historia de los mensajes que usted no mandó
http://www.vsantivirus.com/klez-spam.htm

E-mail sobre el virus Klez mezcla realidad con ficción
http://www.vsantivirus.com/hoax-klez.htm

Virus: W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm

W32/Elkern.C (Elkern.D). El "regalo" que deja el Klez.H
http://www.vsantivirus.com/elkern-c.htm

W95/CIH.1049. Destruye el 2 de agosto e infecta al Klez
http://www.vsantivirus.com/cih-1049.htm

W95/CIH.1106. Borra el duro y datos del BIOS cada día 2
http://www.vsantivirus.com/cih-1106.htm

¡Cuidado!. Los viejos virus pueden tener nueva cara
http://www.vsantivirus.com/03-05-02.htm

Los virus y sus variantes: orígenes y diferencias
http://www.vsantivirus.com/pan-virus-y-variantes.htm


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS