VIRUS KLEZ.E ES DETECTADO DESDE VERSION 4183 /ENGINE 4.1.60 SEGUN NUESTROS BOLETINES DE INFORMACION ENVIADOS A LA LISTA EN 18/01/2002 Y SU AMPLIACION DE "MAS SOBRE EL KLEZ" DE FECHA 12/02/2002

PAYLOADS (ACTIVACIONES) DEL VIRUS W32/KLEZ.E Y SU TROYANO W95/ELKERN

Como ya indicábamos en nuestros anteriores boletines al respecto, el virus KLEZ.E sobreescribe dos bytes (ENTRY POINT) de todos los ficheros DLL y VXD , generando el troyano W95/ELKERN, que se propaga en el ordenador infectando otros ficheros, y que los días 13 de Marzo y 13 de Setiembre borrará todos los ficheros de todos los discos duros de la red de ordenadores en los que se hayan propagado dichos virus debido a tener recursos compartidos.

Lo que además se acaba de constatar, es que este destructivo virus tiene 6 payloads más, concretamente los días 6 de los meses impares, lo cual se manifestó este pasado día 6 de Marzo, pues el anterior día 6 de Enero todavía no estaba en circulación dicho virus.

De los indicados días 6 de meses impares, los correspondientes a Enero y Julio son especialmente malos, pues en ellos el virus sobreescribe todos los ficheros de todo el disco duro, con lo que no queda nada aprovechable, ni ficheros ejecutables ni de datos, y en los días 6 de los restantes meses impares, como el pasado 6 de Marzo y en el próximo 6 de Mayo, el virus sobreescribe "sólo" determinados ficheros de datos, exactamente todos los que tienen cualquiera de las siguientes extensiones:

txt, htm, html, wab, doc, xls, jpg, cpp, c, pas, mpg, mpeg, bak, y mp3.

Dicha sobreescritura la realiza con bytes aleatorios, haciendo imposible su recuperación.

Recordamos una vez mas la necesidad de tener actualizados no sólo el antivirus sino también los parches de Microsoft para el Internet Explorer, incluso aunque se tenga la versión 6, como ya indicamos en nuestros boletines sobre el KLEZ.E

SATINFO, VIRUSCAN SPAIN SERVICE 8 de Marzo 2002

Anterior