"Klez", al más puro estilo Nimda - 29/10/01

Un nuevo virus muy similar en su modo de infección al temido Nimda ha sido reportado por las principales compañías desarrolladoras de soluciones de seguridad antivirus. Se trata de Klez, un nuevo gusano que se propaga a través del e-mail y la Red en mensajes con formato .HTML. Además, al explotar la vulnerabilidad MIME (Multipurpose Internet Mail Extensions), presente en algunas versiones de Microsoft Outlook, Outlook Express e Internet Explorer, como hacía Nimda, es capaz de ejecutarse de manera automática con la simple previsualización del e-mail que lo contiene, sin necesidad de que el usuario lo active.

Klez es un virus escrito en Visual C++ e incluye una copia comprimida del virus "Elkern", del que hay que decir que sólo afecta a los PC´s que tengan instalado Windows 98 o Windows Me. No obstante, el nuevo gusano sólo iniciará su rutina destructiva si la fecha del equipo corresponde a un mes impar (enero, marzo, mayo, julio, septiembre o noviembre) y al día 13. De darse ambas circunstancias el Virus Informático Klez examinará los discos locales y las unidades en red y corromperá todos los archivos con datos aleatorios impidiendo con ello su recuperación.

El mensaje que recibe el usuario presenta estas características:

Remitente (no se muestra el verdadero sino uno de los siguientes):

Asunto (cualquiera de ellos):

Cuerpo del mensaje (sólo se visualizará en el caso de que el usuario tenga activada la opción "vista preliminar" del programa de correo y permita recibir mensajes escritos en .HTML):

Adjunto: Un nombre al azar de extensión .EXE y con un tamaño de 57,345 bytes.

Si el usuario recibe este mensaje y su equipo no está convenientemente actualizado, el gusano comienza su rutina de infección. Primero, crea dos archivos con atributo oculto (+H) en la carpeta C:\Windows\System, cuyos nombres son KRN132.EXE (una copia del propio gusano) y WQK.EXE (el virus comprimido Elkern). Entonces añade dos entradas de registro para asegurarse de que ambos programas se ejecutarán cada vez que se inicie el sistema.

Por otro lado, el gusano realiza un escaneo para encontrar las soluciones antivirus presentes en las unidades locales y las compartidas en red para intentar deshabilitar la función de estos programas. Sin embargo, tras los análisis se ha podido comprobar que un error de programación sólo le permite escanear la unidad A:, con lo cual esta acción queda anulada porque esta unidad, normalmente, se le atribuye a la disquetera.

El virus inicia, entonces, su rutina de propagación buscando nuevas víctimas a través de Internet. Para ello intenta localizar los contactos de la libreta de direcciones de Outlook y genera 10 más, como máximo, con nombres aleatorios pero con las siguientes terminaciones: @hotmail.com, @yahoo.com, @sina.com. Para enviar los mensajes, Klez genera una lista de servidores SMTP al azar y utiliza el nombre del dominio de las direcciones de envío a las que añade el prefijo "smtp".

También puede propagarse generando numerosas copias de si mismo en la carpeta de archivos temporales de Windows. Estas copias poseen nombres elegidos al azar y el gusano intenta copiarlas en todas las carpetas compartidas en red. Para ello busca archivos con extensiones: TXT, HTM, DOC, JPG, BMP, XLS, CPP, HTML, MPG, MPEG y los infecta con su propio código añadiendo, además, al archivo la extensión .EXE. Cabe destacar que esta acción la repetirá cada 8 horas.

Por su parte, Elkern es un virus comprimido que se encuentra dentro del gusano Klez que se libera y se copia en sistemas infectados por el virus que lo contiene. Éstas son algunas de sus características más importantes:

- Infecta archivos PE (Portable Executable).
- Utiliza el método conocido como infección "por cavidad" que significa que con el fin de no alterar el tamaño del archivo original, hace uso de los espacios vacíos contenidos en el mismo.
- Un error en su código sólo le permite infectar sistemas operativos Windows 98 y Windows Me. En el caso de penetrar en máquinas que utilicen Windows NT/2000 provocará que se cuelgue el sistema.
- Una vez ejecutado, se copia a si mismo en el directorio del sistema con atributo oculto y con el nombre WQK.EXE crea una llave de registro para activarse con cada reinicio del sistema.
- Tras la infección el virus busca archivos en las unidades locales y de red, pero sólo infecta los que tengan extensiones .EXE y .SCR.
- La rutina final del virus se activa el 13 de marzo y el 13 de septiembre sobreescribiendo el contenido de los archivos con ceros, lo que los hace irrecuperables.

Las soluciones anti-virus recogen en sus bases de datos on-line a ambos gusanos, Klez y Elkern, con lo cual se impone la necesidad de actualizar lo antes posible estos programas. Además, teniendo en cuenta que explota agujeros de seguridad de productos de Microsoft para los que ya existe parche ¿no sería una buena opción aplicarlos a nuestro PC?