MAS INFORMACION DE INTERES SOBRE VARIANTES DEL VIRUS W32/KLEZ

VIRUS KLEZ.e DETECTADO DESDE VERSION 4183 /ENGINE 4.1.60 SEGUN NUESTRO BOLETIN DE INFORMACION ENVIADO A LA LISTA EN 18/01/02

Si bien ya informamos del virus KLEZ.e a mediados de Enero, la proliferación del mismo ya en Enero lo situó por delante en el número de incidencias recibidas durante el mismo mes, seguido del BADTRANS y del SIRCAM, que junto con el NIMDA han sido los virus de mayor índice en los últimos 4 meses.

El W32/KLEZ, además de propagarse por Internet a través de e-mail y por Intranet a través de recursos compartidos, es peligroso por destruir ficheros .VXD y .DLL, además de borrar a saco los antivirus que encuentre en uso, y dejar los ordenadores sin arranque de Windows, además de infectados.

Del KLEZ han aparecido nuevas variantes, y cabe señalar algunas novedades de las mismas, como que pueden enviar mensajes desde un ordenador infectado poniendo como remitente una dirección electrónica cogida de las libretas de direcciones, con lo cual las quejas de que se ha enviado un virus puede llegar a quien no procede, y de hecho ya hemos tenido varios casos, de asociados que no tienen el KLEZ a quienes les dicen que ellos han enviado el virus. Es la postilla para marear mas la perdiz. En cualquier caso conviene saberlo por si se recibe alguna queja al respecto, sepan la posibilidad de que sea lo indicado, así como si se recibe el virus dentro de un e-mail de alguien que indica no tener dicho virus, cabe entender también dicha posibilidad.

Por otro lado, las nuevas variantes del KLEZ pueden llegar en un e-mail como si fuera una herramienta antivirus de un fabricante conocido, que nos la envía alguien a quien presuntamente le hemos enviado el virus, y sorpresa, si se utiliza la supuesta herramienta antivirus, lo que se hace es ejecutar el propio virus. Afortunadamente para los usuarios de nuestro pais, el KLEZ se expresa en idioma inglés, lo cual salva en muchas ocasiones de caer en la trampa de la picaresca de que sea un e-mail en el que nos envían la presunta herramienta. Si el remitente es un conocido que acostumbra a comunicarse en nuestro idioma, salta la alarma al ver que se nos dirije en inglés. Pero no deja de ser peligroso en algunos casos en que se recibe correo internacional.

Como tercera novedad cabe señalar que el virus puede esconderse en ficheros gusano empaquetados dentro de un fichero empaquetado con la utilidad rusa RAR, a la que para dificultar su detección le añade al fichero empaquetado una primera extensión falsa que disimula, bajo windows, su extension RAR real,la cual figura como segunda extensión, que es la realmente operativa. El nombre de los ficheros que crea con esta argucia es uno de los siguientes: SETUP, INSTALL, DEMO, SNOOPY, PICACHU, KITTY, PLAY, ROCK y el nombre de la primera extensión (antes de la RAR al final) , puede ser uno de los siguientes: .TXT, .HTM, .HTML, .WAB, .DOC, .XLS, .JPG, .CPP, .C, .PAS, .MPG, .MPEG, .BAK, .MP3.

Conviene recordar que en los virus que utilizan el registro de sistema de Windows para cargarse en cada reinicio, como sea que Windows es multitarea, si está en uso no lo deja limpiar, por lo que en general todos los virus de este tipo es recomendable eliminarlos arrancando, si se puede, en MSDOS, lo cual en Windows 95 y 98 se logra cerrando el equipo y pulsando repetidas veces F8 al arrancar de nuevo, y cuando aparece el Menú de Inicio, seleccionar ARRANCAR EN SOLO SIMBOLO DE SISTEMA. Tras ello nuestra herramienta LIMPIA.EXE que se encuentra en el CDROM master, en el disco 1, carpeta UTILES, de los disquetes de actualización que enviamos cada mes, o en nuestra web, www.satinfo.es, apartado de DESCARGAS / UTILIDADES DE SATINFO, podrá ser ejecutada desde cualquier parte, e irá al directorio del estándar del antivirus del disco C:, desde donde lanzará un SCANPM con todas las opciones para eliminar el virus, incluido dentro de los ficheros RAR indicados.

Para el caso de NT/2000 con NTFS que no pueden arrancar en MSDOS, hemos creado la utilidad ELIKLEZ.EXE que eliminará gusanos y registros de sistema, para, tras reiniciar el equipo, poder eliminar el resto de ficheros infectados desde el entorno WINDOWS.

Para el caso del Windows Me, puede utilizarse este último método, o bien arrancar con un disco de INICIO generado en otro ordenador con W5/98, y tras ello ejecutar el LIMPIA.EXE.

Todo lo indicado para el KLEZ sirve también para el W95/ELKERN.cav, que es un troyano generado por dicho KLEZ..

Si no aparece un virus de última hora, este mes sigue siendo mayoritariamente incidente este virus, por lo que una vez mas recomendamos no sólo actualizar el antivirus, sino además aplicar los parches de Microsoft para subsanar los agujeros de seguridad del Internet Explorer, que consiguen ejecutar el virus simplemente por leer o seleccionar un e-mail infectado. Repetimos una vez más los links a la web de Microsoft de donde bajar los parches según versión de Internet Explorer /Outlook Express:

Para Internet Explorer 5.01 y 5.5, disponibles en <http://www.microsoft.com/windows/ie/downloads/critical/q290108/download.asp>, o bien actualizar a Internet Explorer 6 y aplicarle el parche de seguridad de Microsoft del 13 de Diciembre: <http://www.microsoft.com/windows/ie/downloads/critical/q313675/>

También facilitamos el siguiente link que son parches de Microsoft para IE 5.01 SP2, 5.5 SP1/SP2 y 6.0

<http://www.microsoft.com/windows/ie/downloads/critical/q316059/default.asp>

SATINFO, VIRUSCAN SPAIN SERVICE 12 DE FEBRERO de 2002

Anterior