INFORMACION SOBRE PELIGROSA COMBINACION DE VIRUS CIH Y KLEZ

De todos los virus conocidos hasta la fecha, uno de los que a nivel internacional causó más estragos, fue el CIH, que desde 6/1998, cada 26 de Abril en la versión mas extendida, u otras fechas cono 19 de Mayo, 26 de Junio o 26 de cada mes, sobreescribía el 1er Mbyte del disco duro, y según el hardware del equipo, hasta el contenido de las BIOS Flash Eprom, con el consiguiente transtorno y pérdidas económicas, si bien hoy en día estaba bastante erradicado gracias a que su propagación no es automática, y que para infectarse el usuario debe ejecutar un fichero infectado, lo cual es evitado por la mayoria de los antivirus actuales.

Por otro lado, el virus de más propagación actualmente es el W32/KLEZ, que tiene la facilidad de explotar un agujero de seguridad del INTERNET EXPLORER, por el que la lectura con OUTLOOK EXPRESS de un e-mail con código HTML es procesado por el INTERNET EXPLORER, el cual, si encuentra una etiqueta MIME (Multipurpose Internet Mail Extended), ejecuta el fichero anexado automáticamente a la lectura del mail, entendiendo que es un fichero de entorno que debe ejecutar en el momento de leer el mail, por ejemplo, tocar música ambiental al leer el mail, consiguiendo la ejecución del fichero anexado, y en consecuencia del virus, si en lugar del fichero de música lo que hay es un fichero con virus.

Este virus KLEZ es controlado por el antivirus, si se usa MICROSOFT OUTLOOK y se tiene activado la exploración del correo electrónico, o con OUTLOOK EXPRESS si se tienen instalados los últimos parches de Microsoft para el Internet Explorer, o si se usa otro cliente de correo como Netscape, o Eudora, pero en este último caso sin vista previa activada, pues de usarla es el INTERNET EXPLORER en quien se delega la lectura de la vista previa, y consecuentemente procesa igual que si se abriera con Outlook Express.

Nuestra recomendación al respecto es aplicar los últimos parches acumulativos en todos los ordenadores donde se tenga instalado el INTERNET EXPLORER, para evitar la ejecución automática involuntaria del fichero con virus KLEZ, con las indeseables consecuencias.

Llegado a este punto, pasamos a informar de la última argucia de los hackers al respecto de estos dos virus, CIH y KLEZ: Ya hemos recibido las primeras incidencias de clientes que han recibido e-mails típicos del KLEZ, y que el Internet Explorer ha obrado sin los parches, ejecutando el fichero anexado a los e-mails infectados, si bien el resultado inicial ha sido la infección con el virus CIH, luego el reenvío masivo de e-mails infectados a las listas de direcciones, y a continuación la infección con el virus KLEZ y su propagación a todos los ordenadores con recursos compartidos, y por último la aparición del virus ELKERN, conforme tiene programado el virus KLEZ tras su ejecución.

Todo esto no es ni mas ni menos que el resultado de haber infectado un archivo ya infectado con el KLEZ, con el otro virus CIH, el cual es transportado por el más prolífico propagador/infector, logrando colar en los ordenadores que no tuvieran los parches para el Internet Explorer (recordamos que incluso para la versión 6, ya hay cuatro parches), y que sin ninguno de ellos el virus KLEZ entra al leer, con Outlook Express, un mail infectado, sin oposición, por lo que los parches y el antivirus deben tenerse actualizados con conocimiento de causa. Como siempre, en nuestra web www.satinfo.es, iremos publicando las noticias correspondientes, recordándoles que éstas son listas enviadas por e-mail a todos los asociados que se dan de ALTA en el apartado SOPORTE | ALTAS INFORMACION POR E-MAIL. Este servicio es gratuito para nuestros asociados y lo recomendamos para facilitar el conocimiento de las novedades en seguridad informática.

Como nota adicional diremos que el virus CIH/KLEZ recibido por varios usuarios corresponde a la variante de 1003 bytes, que actúa destructivamente cada 26 de Abril, pero que por otro lado tenemos constancia de una nueva variante CIH que actúa cada 2 de AGOSTO, y este año cae en viernes, para muchos último día de trabajo antes de vacaciones, si no lo impide la activación de un maldito virus. y es que cualquier virus, nuevo o viejo, puede ir asociado con el KLEZ, por lo que, para quien todavia no se haya enterado, la instalación de los parches del Internet Explorer y el antivirus bien actualizado es primordial.

Noticia de última hora y confirmando este último párrafo, al extrañarnos al volver a recibir en demasia incidencias del antiguo virus FUNLOVE, lo hemos examinado exhaustivamente y hemos visto que eran KLEZ infectados con FUNLOVE, lo cual confirma que cualquier virus infector de ficheros PE (PORTABLES EJECUTABLES DE WINDOWS 32 BITS), puede infectar al KLEZ, y aprovecharlo para propagarse por e-mail a través de INTERNET y ser ejecutado automáticamente por INTERNET EXPLORER sin parches, al abrir, los mail infectados, con OUTLOOK EXPRESS.

Aprovechando esta noticia, avisamos de que Microsoft ha sacado un nuevo parche acumulativo (Q321232) que soluciona 6 vulnerabilidades más sobre el parche anterior. Si quieren descargarse este parche, pulsen sobre este link: Últimos parches acumulativos de Microsoft

SATINFO, VIRUSCAN SPAIN SERVICE 16 de Mayo de 2002

Anterior