Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W32/Klez.D. Continúa la saga de los "Klez"
 
VSantivirus No. 490 - Año 6 - Sábado 10 de noviembre de 2001

 W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm

Nombre: W32/Klez.D
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.Klez.D@mm, W32.Klez.B@mm
Tamaño: 65,536 bytes
Fecha: 8/nov/01

Klez.D es una variante del Klez-A original. La mayoría de sus características permanece exactamente igual. El virus transporta y libera otro virus, el W32/Elkern, el cuál es copiado en el sistema infectado.

El gusano explota una conocida vulnerabilidad en Outlook y Outlook Express, que permite su ejecución automática con solo leer o ver en el panel de vista previa un mensaje infectado, sin necesidad de ejecutar ningún adjunto. El parche para esta vulnerabilidad está disponible en el sitio de Microsoft:

www.microsoft.com/technet/security/bulletin/MS01-020.asp

Klez es un gusano de envío masivo a través del correo electrónico, escrito en C++. Las acciones que realiza al ejecutarse (con solo leer o ver en la vista previa un mensaje infectado) son las siguientes:

1. Descodifica varias cadenas incluidas en su código, las que permanecen codificadas hasta la ejecución del virus, creadas probablemente para dificultar el análisis del mismo.

2. Examina si se está ejecutando en Windows NT, 2000 o XP. Si esto es así, el gusano verifica si posee el suficiente acceso como para crear un servicio en esa computadora. Este dato es usado nuevamente más tarde por el virus. Luego el gusano procede a crear y ejecutar estos tres hilos (procesos):

a. Buscar OICQ

El primer hilo busca en todas las ramas bajo la siguiente entrada del registro la clave "Oicq":

HKLM\Software\Microsoft\CurrentVersion\Uninstall

De acuerdo al resultado (existe o no una entrada "Oicq"), se marca un flag en el gusano para indicar el éxito o el fracaso de esta búsqueda.

b. Borrar registro

El segundo thread borra toas las entradas que cuelgan de la siguiente rama:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

También borra otras entradas específicas en otras ramas del registro, relacionadas con el auto arranque de algunos productos antivirus, y finalmente mata los procesos activos en memoria de estos antivirus.

c. ElKern

Este tercer hilo se encarga de descomprimir el código del virus W32/ElKern.3326 transportado por el propio Klez, copiándolo a la carpeta C:\Windows\TEMP y ejecutándolo.

También copia ese archivo a la carpeta System de Windows con el nombre de Wqk.exe

C:\Windows\System\Wqk.exe

Finalmente agrega este valor al registro para ejecutarlo en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

El gusano intenta también borrar el archivo copiado a la carpeta de temporales conteniendo el virus liberado. Sin embargo, al estar activo el virus, ese archivo no puede ser borrado. La consecuencia de esta acción es que el gusano entra en un bucle hasta que logre borrar el archivo, lo que ocasiona muchas veces el enlentecimiento y aun el cuelgue de Windows.

El hilo principal del gusano copiará su código a la carpeta System, con este nombre:

C:\Windows\System\WinSvc.exe

Luego lanzará este archivo como un servicio. También lo agrega al registro de Windows para que se ejecute en el arranque:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

El gusano continúa luego ejecutando los siguientes hilos:

d. Network

Este hilo examina los recursos compartidos en red, y si es posible crea una copia del gusano en la unidad remota compartida.

e. Email

Este thread busca y extrae direcciones de la libreta de Windows (Windows Address Book, WAB) y envía un mensaje infectado a todas las direcciones encontradas. También se envía a algunas direcciones de correo insertas en su código.

El mensaje enviado, puede contener uno de estos asuntos:

Hi
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger

Como adjunto, se envía el propio virus, con un nombre aleatorio.

El remitente es una dirección falsa, seleccionada al azar y con uno de los siguientes dominios: yahoo.com, hotmail.com o sina.com. También puede ser seleccionado de una lista interna.

El mensaje es enviado en formato HTML con el siguiente texto:

I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities
How much my year-salary now? NO more than $5,500
What do you think of this fact? Don't call my names,
I have no hostility Can you help me?

f. Payload

El gusano examina la fecha actual de la computadora. Si es el día 13 de un mes impar (enero, marzo, mayo, etc.), se ejecuta su payload (rutina maliciosa), que consiste en borrar todas las unidades de disco locales y compartidas en red (de la C: a la Z:), llenándolos de ceros. Esto hace prácticamente imposible la recuperación de la información original, debiéndose reinstalar Windows y todos los programas.

Además de lo dicho, existe un 0.23% de probabilidades que el payload se ejecute en cualquier fecha. El valor randómico usado por el virus, es actualizado y revisado cada 30 minutos. Adicionalmente, cada 5 horas que el gusano esté activo, existen un 99.77% de posibilidades que se ejecute igual su rutina destructiva.

Para limpiar manualmente un sistema infectado

1. Borre todos los mensajes conteniendo lo que se detalló anteriormente.

2. Restaure en el registro, los cambios en la configuración del sistema. Para ello, seleccione Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

3. En el panel de la izquierda, seleccione (pulsando "+") la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

4. Pinche sobre RUN y en el panel de la derecha busque las entradas que hagan referencia a los siguientes archivos, máquelos y pulse la tecla SUPR o suprimir, confirmando su borrado:

WinSvc.exe
Wqk.exe

5. Salga del editor de registro, y reinicie su sistema.

6. Examine todo su PC con uno más antivirus al día, y borre todos los archivos relacionados con el virus W32/Klez.D.


Fuente: Symantec, Sophos


Referencias:

W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm

Klez.H hace públicos nuestros secretos más íntimos
http://www.vsantivirus.com/20-04-02a.htm

A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm

Virus: W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm

Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm

Virus: W32/Klez.C. Se ejecuta sin abrir ningún adjunto
http://www.vsantivirus.com/klez-c.htm

Virus: W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm

Guía rápida para limpiar un sistema infectado con el Klez.H
http://www.vsantivirus.com/faq-klez.htm

Un consejo para los que están cansados de recibir el Klez
http://www.vsantivirus.com/faq-reglas-klez.htm

El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm

Peligro de virus!. El Klez.E puede borrar sus archivos
http://www.vsantivirus.com/06-03-02.htm

El 6 de mayo el Klez puede borrar todos sus archivos
http://www.vsantivirus.com/02-05-02.htm

¡Cuidado!, el 6 de julio puede perder todos sus archivos
http://www.vsantivirus.com/05-07-02.htm

Variante del Klez puede destruir archivos este sábado
http://www.vsantivirus.com/13-07-02.htm

Klez: la historia de los mensajes que usted no mandó
http://www.vsantivirus.com/klez-spam.htm

E-mail sobre el virus Klez mezcla realidad con ficción
http://www.vsantivirus.com/hoax-klez.htm

Virus: W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm

W32/Elkern.C (Elkern.D). El "regalo" que deja el Klez.H
http://www.vsantivirus.com/elkern-c.htm

W95/CIH.1049. Destruye el 2 de agosto e infecta al Klez
http://www.vsantivirus.com/cih-1049.htm

W95/CIH.1106. Borra el duro y datos del BIOS cada día 2
http://www.vsantivirus.com/cih-1106.htm

¡Cuidado!. Los viejos virus pueden tener nueva cara
http://www.vsantivirus.com/03-05-02.htm

Los virus y sus variantes: orígenes y diferencias
http://www.vsantivirus.com/pan-virus-y-variantes.htm


Información adicional
Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS