|
Un nuevo virus muy similar en su modo de
infección al temido Nimda ha sido reportado por las principales
compañías desarrolladoras de soluciones de seguridad antivirus.
Se trata de Klez, un nuevo gusano que se propaga a través del
e-mail y la Red en mensajes con formato .HTML. Además, al
explotar la vulnerabilidad MIME (Multipurpose Internet Mail
Extensions), presente en algunas versiones de Microsoft Outlook,
Outlook Express e Internet Explorer, como hacía Nimda, es capaz
de ejecutarse de manera automática con la simple
previsualización del e-mail que lo contiene, sin necesidad de
que el usuario lo active.
Klez es un virus escrito en Visual C++ e
incluye una copia comprimida del virus "Elkern", del
que hay que decir que sólo afecta a los PC´s que tengan
instalado Windows 98 o Windows Me. No obstante, el nuevo gusano
sólo iniciará su rutina destructiva si la fecha del equipo
corresponde a un mes impar (enero, marzo, mayo, julio,
septiembre o noviembre) y al día 13. De darse ambas
circunstancias el Virus Informático Klez examinará los discos locales y las unidades
en red y corromperá todos los archivos con datos aleatorios
impidiendo con ello su recuperación.
El mensaje que recibe el usuario presenta
estas características:
Remitente (no se muestra el verdadero sino
uno de los siguientes):
king@21cn.com
flag@21cn.com
super@21cn.com
zhangcheng77@online.sh.cn
broused@online.sh.cn
lbhuangsy@21cn.com
kqlbaby@21cn.com
jiemin@citiz.net
feiyiming@citiz.net
lllwww@online.sh.cn
tomyjiang18@21cn.com
luxianchu@21cn.com
kqlbaby@21cn.com
lin_yuezhi@citiz.net
zhangcheng77@online.sh.cn
zbzwy@21cn.com
sarge2010@21cn.com
Asunto (cualquiera de ellos):
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
Cuerpo del mensaje (sólo se visualizará en
el caso de que el usuario tenga activada la opción "vista
preliminar" del programa de correo y permita recibir
mensajes escritos en .HTML):
I'm sorry to do so,but it's helpless to say
sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?
Adjunto: Un nombre al azar de extensión .EXE
y con un tamaño de 57,345 bytes.
Si el usuario recibe este mensaje y su equipo
no está convenientemente actualizado, el gusano comienza su
rutina de infección. Primero, crea dos archivos con atributo
oculto (+H) en la carpeta C:\Windows\System, cuyos nombres son
KRN132.EXE (una copia del propio gusano) y WQK.EXE (el virus
comprimido Elkern). Entonces añade dos entradas de registro
para asegurarse de que ambos programas se ejecutarán cada vez
que se inicie el sistema.
Por otro lado, el gusano realiza un escaneo
para encontrar las soluciones antivirus presentes en las
unidades locales y las compartidas en red para intentar
deshabilitar la función de estos programas. Sin embargo, tras
los análisis se ha podido comprobar que un error de
programación sólo le permite escanear la unidad A:, con lo
cual esta acción queda anulada porque esta unidad, normalmente,
se le atribuye a la disquetera.
El virus inicia, entonces, su rutina de
propagación buscando nuevas víctimas a través de Internet.
Para ello intenta localizar los contactos de la libreta de
direcciones de Outlook y genera 10 más, como máximo, con
nombres aleatorios pero con las siguientes terminaciones: @hotmail.com,
@yahoo.com, @sina.com. Para enviar los mensajes, Klez genera una
lista de servidores SMTP al azar y utiliza el nombre del dominio
de las direcciones de envío a las que añade el prefijo "smtp".
También puede propagarse generando numerosas
copias de si mismo en la carpeta de archivos temporales de
Windows. Estas copias poseen nombres elegidos al azar y el
gusano intenta copiarlas en todas las carpetas compartidas en
red. Para ello busca archivos con extensiones: TXT, HTM, DOC,
JPG, BMP, XLS, CPP, HTML, MPG, MPEG y los infecta con su propio
código añadiendo, además, al archivo la extensión .EXE. Cabe
destacar que esta acción la repetirá cada 8 horas.
Por su parte, Elkern es un virus comprimido
que se encuentra dentro del gusano Klez que se libera y se copia
en sistemas infectados por el virus que lo contiene. Éstas son
algunas de sus características más importantes:
- Infecta archivos PE (Portable Executable).
- Utiliza el método conocido como infección "por
cavidad" que significa que con el fin de no alterar el
tamaño del archivo original, hace uso de los espacios vacíos
contenidos en el mismo.
- Un error en su código sólo le permite infectar sistemas
operativos Windows 98 y Windows Me. En el caso de penetrar en
máquinas que utilicen Windows NT/2000 provocará que se cuelgue
el sistema.
- Una vez ejecutado, se copia a si mismo en el directorio del
sistema con atributo oculto y con el nombre WQK.EXE crea una
llave de registro para activarse con cada reinicio del sistema.
- Tras la infección el virus busca archivos en las unidades
locales y de red, pero sólo infecta los que tengan extensiones
.EXE y .SCR.
- La rutina final del virus se activa el 13 de marzo y el 13 de
septiembre sobreescribiendo el contenido de los archivos con
ceros, lo que los hace irrecuperables.
Las soluciones anti-virus recogen en sus
bases de datos on-line a ambos gusanos, Klez y Elkern, con lo
cual se impone la necesidad de actualizar lo antes posible estos
programas. Además, teniendo en cuenta que explota agujeros de
seguridad de productos de Microsoft para los que ya existe
parche ¿no sería una buena opción aplicarlos a nuestro PC?
|
