Klez.I está diseñado para propagarse rápidamente a través del correo electrónico. Concretamente, el usuario recibe un e-mail que adjunta dos ficheros. Uno de ellos tiene un nombre variable, compuesto por tres letras y cuatro números, y la extensión PIF, BAT, EXE o SCR. Por su parte, el segundo archivo recibido puede tener cualquiera de las siguientes extensiones: .txt, .htm,.html, .wab, .asp, .doc, .rtf, .xls,.jpg,.cpp, .c, .pas, .mpg, .mpeg, .bak, .mp3, .mp8, .pdf. El asunto y cuerpo del mensaje del correo electrónico recibido es muy variable, y ambos se seleccionan de entre una extensa lista de opciones, las cuales pueden ser consultadas en la dirección
http://service.pandasoftware.es/enciclopedia/fichaVirus.jsp?Virus=W32/Klez.I.. Si el virus Klez.I se autoejecuta, debido a una vulnerabilidad existente en el navegador Microsoft Internet Explorer, o el usuario hace click sobre el fichero que contiene el gusano, éste se envía, a través de una conexión SMTP, a todas las entradas de la libreta de direcciones de Windows y a cualquier otra que se encuentre en el equipo. Además, tiene la capacidad de cambiar la dirección del remitente aleatoriamente por cualquiera de las que Klez.I haya detectado en el sistema. Al mismo tiempo, el gusano crea un archivo llamado WINK*.EXE en el directorio de sistema de Windows, que en realidad es una copia de si mismo. Por otra parte, crea otro fichero de nombre aleatorio en el directorio "archivos de programas" de Windows, que es otro virus conocido como W32/Elkern.C cuyo cometido es infectar ficheros ejecutables (PE) en el equipo. Además, Klez.I tiene la capacidad de detener algunos procesos que, en ese momento, se encuentren en memoria y que pueden afectar al funcionamiento de determinadas aplicaciones, entre las cuales se encuentran algunos antivirus
Nombre: W32/Klez.H (Klez.I)
Tipo: Gusano de Internet
Alias: Klez.H, W32.Klez.H@mm, W32/Klez.G@mm, W32/Klez-G,
WORM_KLEZ.G, Klez.I
Plataforma: Windows 32-bit
Fecha: 17/abr/02
Fuente: Central Command, F-Secure, Kaspersky Labs, Norman,
NAI, Symantec, Trend.
Este gusano hace uso de la vulnerabilidad conocida como "Incorrect MIME Header vulnerability" que afecta al Internet Explorer 5.01 o 5.5 que no han sido actualizados. El gusano posee la habilidad de tomar diferentes personalidades en el campo "De:", logrando que el mensaje parezca ser enviado por cualquier persona, aunque esta nunca haya sido infectada.
La dirección del remitente también es seleccionada al azar, usándose las mismas direcciones que el gusano busca en la máquina infectada. Eso puede hacer que cualquiera parezca estar enviando ese mensaje, en ocasiones hasta uno mismo es capaz de recibir un mensaje que parece provenir de su propia máquina, cuando ello no es así.
Es muy importante que instaleís esta actualización si utilizais IExplorer
Parche para el I Explorer
Los parches que evitan la ejecución automática de este virus simplemente por ver un mensaje infectado pueden ser
descargados de este enlace:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
--------------------------------------------------------------------------------
Algunas herramientas que limpian el Klez (todas las versiones) de un sistema infectado:
Symantec (quita el Klez y el W32/ElKern) 139 Kb
http://securityresponse.symantec.com/avcenter/FixKlezE.com
Trend Micro (quita el Klez y el W32/ElKern) 72 KB
http://www.antivirus.com/vinfo/security/fix_worm_klez.g_3.10.com
Estas utilidades pesan poco y son gratuitas, es interesante que las bajeis y las tengais a mano y preparadas para utilizarlas si sois infectados, cosa nada dificil en los tiempos que corren
También es aconsejable que quiteis la vista previa en el Outlook Express, "Ver"-"Diseño"- Desmarcar "Ver panel de vista previa" pues hay virus que se ejecutan solo con ver el mail en la vista previa sin que sea necesario ejecutar nada
--------------------------------------------------------------------------------
Eliminación manual del Klez
Para eliminar manualmente el virus de un sistema infectado, siga estos pasos:
1. Desconecte sus computadoras de la red en el caso de que estuvieran conectadas a una.
2. Reinicie la computadora en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.
4. Borre cualquiera de las siguiente claves encontradas en la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\run
5. Pinche en la carpeta "Run" y borre en la ventana de la derecha, cualquier entrada con estas referencias:
krn132
wqk
WinSvc
Wink[caracteres al azar]
En Windows NT/2000
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
Borre estas referencias:
KernelSvc
Krn132
Wink[caracteres al azar]
En Windows 2000
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Windows
\AppInit_DLLs
En todos los sistemas:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
Borre las siguientes referencias de la carpeta "Services"
KernelSvc
Krn132
Wink[caracteres al azar]
6. Borre estos archivos:
C:\Windows\System\krn132.exe
C:\Windows\System\winsvc.exe
C:\Windows\System\wink[caracteres al azar].exe
En Windows 95/98/ME
C:\Windows\System\wqk.exe
En Windows 2000
C:\WinNT\System32\wqk.dll
7. Reinicie su computadora y ejecute uno o más antivirus al día
8. Reitere estos pasos en todas las computadoras en red, antes de volver a conectar
--------------------------------------------------------------------------------
+ INFO sobre este virus en
http://www.vsantivirus.com/klez-h.htm
Cortesía de
(c) Video Soft -
http://www.videosoft.net.uy
(c) VSAntivirus -
http://www.vsantivirus.com
Salu2
